Нашел пример реализации. Но не могу понять претензию комментатора, с которой автор статьи согласился. Что он имел в виду под "как бы есть сессии"? Сессии что, замена кукисам? И как обойтись без поля token, то есть обновляемого уникального ключа?
Я использую такой метод, только у меня в нагрузку идет постоянная проверка уникального ключа при каждой загрузке, заодно и информацию о пользователе вытягиваю.. а вдруг его уже забанили и ему надо отрезать доступ. Ты их побольше слушай про велосипеды, у них скоро мозги из головы полезут. Сессии - да, отличный метод, но при закрытии браузера все и оканчивается да и время жизни сессии по-умолчанию ограничено. А такой метод с куками и запомнить тебя позволяет в системе и вылогинит укравшего твою куку, как только ты залогинишься. В итоге - лишь один token для конкретного пользователя с конкретным браузером, стоит только лишь с другого браузера зайти, так тут же кука предыдущего браузера не будет валидной.
И, чтобы не было пи***жа по поводу кол-ва токенов, - создавай один уникальный пул для конкретного id пользователя по факту создания этого пользователя и не будет миллионов записей в базе