Хэши или токены для куки "запомнить меня"?

Когда дело доходит до remember me cookies, существует 2 различных подхода:

Хэши
В remember me cookies хранится строка, которая может идентифицировать пользователя (т.е. ID пользователя) и строка, которая может доказать, что идентифицированный пользователь является тем, за кого он себя выдает - обычно это хэш на основе пароля пользователя.

Токены
Cookie remember me хранит случайную (бессмысленную), но уникальную строку, которая соотносится с записью в таблице tokens, хранящей идентификатор пользователя.

Какой подход более безопасен и каковы его недостатки?