Efectivamente... al inicio de cada pagina necesitas comparar el token del cliente con el token almacenado en la base... si son iguales entonces permites el acceso

Por otro lado te falta la funcion contraria..... actualmente estas creando tokens y almacenandolos en la base de datos... sin embargo tambien tienes que pensar en una funcion automatica (ejecutada con un cronjob por ejemplo) que revise la base de datos y vaya eliminando automaticamente los tokens viejos... de lo contrario llegara un punto donde no importa el token que te den.. siempre estara vigente...