PHP

Session security. What about regenerate_id?

Actually the subject is as follows: as bequeathed to php.net использую временную метку для определения просроченных сессий. Реализовано следующим образом при старте сессии проверяю есть ли метка и вышло ли время через которое следует удалить данную сессию, если да, то сессия неактивная, следовательно доступа к ней быть не должно, но кто-то пытается его получить. Далее я разрушаю эту сессию и побуждаю соответствующее событие. Проверяю, если сессия содержала флаг авторизации, то разлогиниваю все активные сессии для данного пользователя. Процесс пометки сессии как устаревшей происходит после вызова вызова session_regenerate_id(). В итоге получаю активную сессию, которую отслеживаю и собственно устаревшую, которую и помечаю соответствующим образом. Так вот, как указывал выше, рекомендуют периодически вызывать session_regenerate_id(), допустим каждые 30 минут. Насколько это оправданно? Стоит ли делать так или можно ограничится генерацией только перед или после определенных операций (log in\out). Если нет, то как лучше реализовать. Навесить вызов $session->regenerate() по крону или через консольное приложение?