Ale protože nechceme používat session kvůli velké návštěvnosti webu - protože by se tvořilo spousty session souborů na serveru

Toto tvrdenie nedáva zmysel, máš ho niečím podložené? Množstvo session súborov má minimálny dopad na výkonnosť. Session súbory sa zvyknú nepoužívať kvôli iným dôvodom (napr. load balancing). Ďalšia vec je, že session môžeš štartovať len pre prihlásených používateľov. Z celej tvojej otázky mám pocit, že tá veľká návštevnosť až taká veľká nebude. Nekomplikujete si náhodou veci tým, že extrémne preceňujete záťaž, ktorú potrebujete zvládnuť?

Tak či tak budeš potrebovať používateľovi nastaviť do cookie nejaký token - buď ho vygeneruje tvoja aplikácia (či už ako PHPSESSID alebo si ho vygeneruješ sám, prípadne pomocou nejakého frameworku), alebo to bude priamo access token od niekoho iného. Čo sa týka bezpečnosti, tak na to je jednoduchá odpoveď. V prípade, že sa útočníkovi podarí získať token vygenerovaný tvojou aplikáciou, tak útočník získa dočasný prístup do tvojej aplikácie. Ak bol ten token vygenerovaný niekým iným, tak získa trvalý prístup do tvojej aplikácie a aj k tomu niekomu inému. Takže z tohto pohľadu je jednoznačne lepšie, keď použiješ vlastný token. Na druhú stranu, ak má byť tým tokenom len nejaký ľahko uhádnuteľný identifikátor používateľa, tak to potom fakt radšej použi ten token vygenerovaný niekým iným.