Я бы не стал проверять авторизацию только по данным от клиента. В принципе. Сам способ генерации авторизационного токена вполне неплох, но имхо следует в него добавить некий секрет, известный только серверу, т.е. соль или её часть хранить в БД рядом с инфой об учетной записи клиента. Если вдруг статичная соль каким-то образом утечет, получите анонимную авторизацию под любой учеткой на сервере, включая несуществующие, с наличием динамической части такой проблемы не должно появиться. А экономить один запрос в БД на входной авторизации по мне нелогично, тем более, если проект не является хайлоадом (да и там оптимизации допустимы, включая хранение соответствия логин-соль где-то в памяти соседнего микросервиса).
