Jeg vil stærkt fraråde dig at bruge mysql til at gemme sessioner. Jeg vil foreslå at bruge redis eller memcache. Redis gemmer dataene på disken, hvis din server går ned. Redis giver dig også mulighed for at indstille en TTL til at udløbe sessionen, hvilket ville løse #4.
Hvis du bruger hvilebaserede opkald, vil jeg foreslå, at du bare tilføjer sessionen til overskriften som en cookie og sender den frem og tilbage. Grundlæggende emulerer den måde, en browser ville få adgang til siden. Jeg tror også, det ville gøre testen nemmere.