yani sessiona kullanıcının idsini kayıt etmek yerine her oturum için SHA256 ile token oluşturup o tokeni sessiona kayıt edeyim ve kullanıcının bilgilerini çekerken o token ile mi çekeyim?
Aynen öyle. Kendi tokeninizi yapamazsanız, JWT kullanılıyordu galiba hazır olarak. Ona bakabilirsiniz.