Va bene rigenerare l'id, ma solitamente si fa a login/logout o quando cambiano i permessi dell'utente loggato (se gli cambi il livello di autorizzazione o se l'utente modifica i suoi dati personali). In generale tra login e logout ti conviene mantenere lo stesso id di sessione.