Estos tokens de usuario que necesita sonar como cookies ;-)
El manejo de cookies es un tema delicado y hay varios enfoques.
Una habitual es una simple cadena de caracteres aleatoria. El usuario lo mantiene y usted lo valida contra un hash en su base de datos. Filtrar esta cadena sería muy malo, ten cuidado.
Hay una variación común de esta: en lugar de una cadena aleatoria, codifique el ID de usuario y otros datos de sesión y fírmela (criptográficamente), cuando el usuario presente, valide la firma y use los datos de la cookie. Esto te ahorra un viaje a la base de datos.
Uno de mis favoritos para clientes nativos: tokens HMAC. Compartes una clave secreta con el cliente. El cliente utiliza esta clave para marcar un nonce y una marca de tiempo y envía el hash, el nonce y la marca de tiempo al servidor. El servidor realiza los mismos cálculos para validar el valor recibido por el cliente.
De esta manera, el secreto se envía por el cable solo una vez, lo que reduce el riesgo de fugas. Bien implementado, también reduce el riesgo de ataques de repetición.
Hay otros. Tal vez tu framework ya sea compatible con uno de ellos, en ese caso podrías estar mejor con él.
Evalúe las diferentes alternativas y si necesita ayuda para decidir, consúltenos.