En primer lugar, no, no use sesiones de PHP. En resumen, las sesiones de PHP son una mala idea en términos de almacenamiento en caché y rendimiento. Puede encontrar fácilmente explicaciones más extensas en Google.
Puede almacenar tokens de portador y/o de actualización en la base de datos. Hay algunas preocupaciones posibles como «si alguien obtiene acceso a la base de datos, obtiene acceso a todos los tokens de seguridad», pero, sin embargo, si alguien tiene acceso a su base de datos, todo ya está mal.
.