Авторизация/Регистрация пользователей. Токены. Безопасность

при регистрации пользователя, генерируется хеш и добавляется в базу и хранится в сессиях. Собственно, по этому хешу я узнаю зарегистрированного и не зарегистрированного юзера.. при каком-либо запросе делаю так: SELECT Name, Status WHERE hash = $_SESSION['hash']то есть проверяется хеш.. Этот хеш никогда не обновляется, так как юзер не сможет зайти с других устройств. Если перезагрузить браузер, то сессии слетают, и приходится обратно вводить данные, а если использовать куки, вместо сессий, и хранить там этот хеш, то их удасться подделать... Подскажите, правильный ли этот метод? как более правильно делать подобные системы... Также как правильно использовать токены? туго с этими токенами