Аутентификация и сеансы PHP API

У меня есть приложение PHP, которое во многом полагается на сеансы. Сейчас мы рассматриваем возможность создания API для наших пользователей. Наши первоначальные мысли заключаются в том, что пользователям необходимо будет пройти аутентификацию по API с их адресом электронной почты, паролем и ключом API (уникальным для каждого пользователя).

Однако, поскольку текущее приложение (включая модели) в значительной степени полагается на пользовательские сеансы, я не уверен в лучшем подходе.

Предполагая, что запрос API аутентифицирован правильно, можно ли:

• Запустить сеанс для вызова API после аутентификации пользователя
• Запустить модели и вернуть пользователю json / xml
• Убить the session

Это означает, что сеанс создается для каждого вызова API, а затем немедленно сбрасывается. Это нормально? Или нам следует рассмотреть другие альтернативы?