Vuelvo a autoresponderme por si a alguien le puede servir de ayuda en el futuro.

Al final he encontrado un Bundle muy sencillo pero muy práctico para generar Jason Web Tokens (https://github.com/firebase/php-jwt).

Y he decidido afrontarlo así:
Al hacer login, si el usuario es correcto genero el token y lo devuelvo con los encabezados.
Almaceno dicho token y el id de usuario en una tabla, junto a la fecha de creación y de caducidad. Si ya existía el usuario, actualizo el token.

Al solicitar otros recursos, como por ejemplo los datos de un usuario, comparo el token que me mandan por el encabezado con el que tengo guardado en la bdd, si es correcto le muestro los datos.

Y el logout será simplemente borrar este token.

No se si será la respuesta más correcta, pero es la que se me ha ocurrido.

Gracias!