non cambia nulla, anzi è peggio (in termini di "risorse")... per controllare la corrispondenza dell'hash dovresti cmq avere l'id e quindi registrarlo sempre e cmq come prima

per "migliorare" la sicurezza puoi solo verificare ad ogni controllo se alcuni dati sono ancora validi, p.es. controllare che NON vari l'ip durante la connessione, ma cmq devi usare:
- dati reperibili automaticamente (come l'ip)
oppure
- dati immessi dall'utente (come lo username: ma questo lo chiedi solo la prima volta!)

...infatti alcuni servizi a certe azioni o ogni tot richiedono di nuovo lo username