Как генерировать и хранить статические ключи авторизации для сервисов без сохранения состояния?

Я создаю службу без сохранения состояния (API) и буду генерировать статические ключи для пользователей, чтобы получить к ней доступ. Я хотел бы знать лучшие практики для генерации этих ключей и последующего их хранения.

Я использую встроенные функции PHP здесь для генерации хэшей паролей для пользователей моего веб-приложения: http://php.net/manual/en/function.password-hash.php

Поскольку мое веб-приложение использует сеансы cookie, мне нужно только аутентифицировать учетные данные пользователя при входе в систему. Так что намеренная медлительность этого метода выгодна. Но с моим API статический ключ должен проходить аутентификацию для каждого запроса, и я не хочу добавлять большие статические 50 или 100 мс к каждому запросу, поскольку я хеширую их ключ и сравниваю его с тем, что я сохранил.

Итак, как я должен генерировать и хранить статические ключи, чтобы они оба были безопасными и не вызывали медленные запросы?