Соглашусь, /admin?token=jtcvbliugkbk - это неудобно и, допустим, это крайний вариант.
Замечу также, что ссылка /admin?token=jtcvbliugkbk не должна давать доступ с другого устройства. Т.е. нужно ещё устанавливать авторизационную куку. Если кукак И токен валидные, выдавать админку.
Однако,
document.referrer на странице /user может содержать "/admin?token=jtcvbliugkbk".
Чтобы этого избежать, на странице /admin необходимо размещать ссылку:
<a href="/redir?/user" target="_blank">