Debo de estar completamente ofuscado xD.

webankenovi, tu código precisamente muestra lo que no entiendo, así que me voy a centrar en él.

¿Me puedes explicar para qué haces un hash de los datos de la cadena de identificación? Si un atacante es capaz de falsificar exactamente los datos de las cabeceras HTTP, la IP de la víctima y la cookie que contiene el token, ¿qué más da el hash o cualquier otro sistema súper complejo de encriptación que montes? A igualdad de datos de entrada, igualdad de resultado generado, así que la obtención de tu cadena de identificación es igual de vulnerable esté o no "hasheada".

El único motivo que puedo ver para "hashear" la cadena de identificación es porque el hash resultante (128 caracteres en este caso debido a que usas whirlpool) es más corto que la simple concatenación de todos los datos de la cadena de identificación.

P.D: Mi pregunta no se debe a que lo necesite implantar en algún proyecto, simple curiosidad formativa.

Saludos.