Quote

Mein Stand ist dass diese Challenge Tokens nur die Anforderung haben, dass sie nicht erraten werden können.

Wie ein Passwort. Idee: Als Token gleich das Passwort nehmen. Natürlich als Crypt und genauso auch serverseitig hinterlegt. Und schon wird die Session überflüssig weil das passwort bei jedem Request geprüft werden kann ;)

Mfg