Когда дело доходит до remember me cookies, существует 2 различных подхода:
Хэши
В remember me cookies хранится строка, которая может идентифицировать пользователя (т.е. ID пользователя) и строка, которая может доказать, что идентифицированный пользователь является тем, за кого он себя выдает - обычно это хэш на основе пароля пользователя.
Токены
Cookie remember me хранит случайную (бессмысленную), но уникальную строку, которая соотносится с записью в таблице tokens, хранящей идентификатор пользователя.
Какой подход более безопасен и каковы его недостатки?