bueno pero uno esta revisando si la session fue creada constantemente o al menos cada vez que se cambie de pagina. Osea al principio de cada archivo uno se fija si la session fue seteada para permitir mostrar contenido privado, entonces si el token esta guardado en la base de datos y la session fue creada con el token, no tendria uno que comparar la session token con la base de datos token y si son iguales dar acceso o negarlo? Abria una consulta de base de datos cada vez que hace esta comparacion, no? (para estar seguro que entendi)

Por otro lado, que mas puede uno agregar para mas complejidad? que es comun aparte del token.

Estaba pensando en otra session con la direccion IP, ya que es unica.