Se vuoi puoi generare il token in php 5 con questo comando:

codice:
$token = bin2hex(openssl_random_pseudo_bytes(64));
Però puoi anche usare il tuo session_id, passandolo ad una funzione di hashing.
Di solito si usa un token perché avrà un valore meno predicibile e per evitare che il session_id possa venir letto e possa essere "rubata" la sessione, ma passando il tuo id ad una funzione di hashing dovresti essere piuttosto sicuro ugualmente.