Session id tedy stejně ukládáte do cookie. Ten token je něco jako csrf token. Neslouží ke kontrole přihlášení. Pochopil jsem to správně?
To záleží na situaci. Nejradši mám, když aplikace vůbec nepotřebuje session id (konfiguračních dat je tak málo, že se dají všechna vložit zašifrovaná do cookie). Když je cookie/token zašifrovaný, tak se dá použít i ke kontrole přihlášení. Záleží to prostě, co od aplikace chci.
Vzhledem k tomu, že dělám prakticky jenom interní aplikace s malým množství uživatelů, často zavřené za http auth, nemusím spoustu věcí moc řešit...