csrf токен ошибка в генерации

Всем привет, написал небольшой код:

session_start();
    if(empty($_SESSION['token']) || !isset($_SESSION['token'])){
            $_SESSION['token'] = bin2hex(random_bytes(32));
    }
    if(isset($_POST['csrf_token'])){
        if (!hash_equals($_SESSION['token'], $_POST['csrf_token'])) {
            die();
        }
        else{
            $_SESSION['token'] = bin2hex(random_bytes(32));
        }
    }
    else{
        $_SESSION['token'] = bin2hex(random_bytes(32));
    }

но возникает проблема с последней проверкой, она даже если по условию не должна срабатывать, то всё равно почему то срабатывает и генерирует новое значение ( как так происходит я не знаю но почему то это именно так и работает ( звучит глупо ) ) хотел бы понять, в чём ошибка и нужно ли вообще генерировать токен каждый раз при обновлении страницы или нужно генерировать после успешной/не успешной сверки токенов