сделать 1 строка -> 1 пользователь и при запросе к апи делать update времени?
Так и делают в большинстве случаев.
Только не 1 строка -> 1 пользователь, 1 строка -> 1 сессия авторизации. Один пользователь может авторизоваться не только на одном устройстве (браузере, экземпляре программы, ОС), но и на еще одном, и даже на утюге. Нужно отслеживать, когда каждая сессия открыта, когда закрыта (по принудительному разлогированию), когда последний раз пользователь пинговал апи (время онлайн).
Этих сведений в большинстве систем достаточно.
То, что вы пишите каждый запрос в свои логи - эти логи есть в логах сервера. Если не стоит задачи их детального анализа в контексте пользователя, то нет нужды писать такие сведения в своих логах.