Можете генерировать случайную строку с помощью sha1 или md5 от конкатенации любых данных
самый бональный код
function genSessionKey() {
$ip = (!empty($_SERVER['REMOTE_ADDR'])) ? $_SERVER['REMOTE_ADDR'] : '';
return md5($login.$ip.uniquid().rand(111, 9999));
}

а так поддержу вариант , солей много . так , что удачи ))
________
посл. ред. 04.11.2017 в 13:17; всего 1 раз(а); by 168694660

Можешь сделать ещё сверку куки и сессии , если куки не равны сессии то не зайдет на акк взломщик , даже если куки украдет

это крутая идея
защитит от фейковых входов
________
посл. ред. 04.11.2017 в 13:31; всего 1 раз(а); by rekmixa

Ага , это защита если захотят куки подменить)

KING_SysTEM, а что если сделать так: есть таблица с авторизациями, и потом всегда проверять user agent с табличными данными. если не совпадает - сбрасывать

если другое устройство то и куки будут другие ) повторная авторизация

XxxDIABLOxxX, не бред, токен можно формировать не только по связке ip + броузер + соль + id любые уникальные данные пользователя могуть быть хэшированы и составлять токен, одна часть в куках другая в профиле на сервере с эталоном. И нет ничего страшного если сброс сессии с другого устройства, исключает угон кукисов и взлом учетной записи.

rekmixa, немного не удобно так как авторизация с разных устройств, разве что записывать эти данные после проверки логина и пароля , хотя и куки с сессиями хватит

KING_SysTEM, ты немного не понял. у каждой авторизации свой id, в куки писать хэш authid+userid+pass+useragent+salt
а с разных устройств будет разный хэш и всё будет ок

а если у пользователя браузер изменится