md5 kullanmayın artık kırılıyor,
sha256 kullanabilirsiniz , kullanıcı adı + şifre + salt(anlık saat dk olur,random karakterler olur aklınıza ne gelirse sadece sunucunun bilebileceği bir key olacak,bir nevi private key) ile token oluşturun ister kullanıcı tarafında localstorage a ister sunucu tarafında olarak kayıt edip kullanabilirsiniz.
Localstorage a kayıt edecekseniz her istekde bu keyi de göndermeniz gerekecek.
Yada hiç uğraşmayın hazır kütüphaneler var
https://jwt.io/libraries
Şu şekilde olur mu?
Mesela kullanıcı adı ve şifre girildi doğru ise $_SESSİON['log']=$essiz_token
Olacak yani oturumu açık biri örneğin ilanlarım sayfasına girdiğinde sessiondan kullanıcı id çekerek değil de o anki token ile verileri getirtecek