Si si ma infatti ti ho detto che va benissimo usare il session_id hashato. Usare un token è in generale quello che leggi in giro sulle best prectices, e visto che non è una gran fatica molto spesso viene usato. Ma a livello di sicurezza i vantaggi sono minimi.