Me da la impresión de que mezclas conceptos, o más probablemente no te acabo de entender.

Pero el método que sugieres al final es el que se usa.

Si sirve para que nos entendamos:

Una vez autenticado el usuario, guardas ese token en la base de datos de tal manera que quede asociado con ese usuario. Luego entregas ese token en forma de cookie al usuario, y en cada petición de página te es devuelto y puedes recoger a que usuario pertenece.

Todo esto está completamente automatizado en PHP si usas sesiones, por si quieres ahorrarte esa parte.