a lo dicho anteriormente me faltaria añadir que tambien es necesario añadir el id de session y añadirlo a la cadena , una vez echo esto , despues de una peticion se comprueba la cadena con la de la bd si es correcta volmenos a generar un nuevo session_id y un nuevo token y la cookie volvemos a guardarlo y asi sucesivamente .

nemutagk tiene mucha razon de que es tu proyecto ?? que datos sensibles de los usuarios almacenas???