En el ejemplo de phpsecurity, no es tonteria la separación del identifier y el token? O es por almacenarlo en los 32 caracteres varchar, y hacer una búsqueda mas rápida.

Y lo que voy a comentar ahora mismo no se si es que me he vuelto loco, porque en mi aplicación también lo hago, al igual que el ejemplo de phpsecurity, compruebo a la inversa el hash con las cookies; pero es que si alguien a robado las cookies, esa comprobación va a dar correcta de todas formas, ahora no le veo el sentido