oauth2を使ってapiを利用するラッパーライブラリを作成中です。

oauth2では認証ページからリダイレクトされるときに、stateがそのまま返却されるので
CSRF対策をしようと思ったのですが、どのようにさせるのがいいのか悩んでいます。

例えば

lang
1public function setState($state) {
2    session_start();
3    $_SESSION['mylibrariname_State'] = $state;
4}

と認証ページに移動する前に、セッション変数に保存しておき

lang
1public function validState()
2{
3    if(isset($_GET['state'] && $_GET['state']===$_SESSION['mylibrariname_State']) {
4        return true;
5    } 
6
7    return false;
8}

と、ライブラリ内でセッション変数を設定したり参照したりするのは
ライブラリの作りとしていいものなのでしょうか？
（この例では、GETのパラメータもライブラリ内で取得していますが…これもありなのかな？）

セッション変数を使わずに、ライブラリ内でCSRF対策を行う方法が思い浮かばなかったのですが、セッション変数はライブラリ外からも参照できるので、やっていいものなのか迷っています。
何かご意見がありましたら、よろしくおねがいします。