Вы можете хранить идентификатор пользователя только в cookie, если вы подпишете его секретным ключом, который знают только ваши приложения. В противном случае пользователь может изменить файл cookie на что угодно и войти в систему под именем другого пользователя. Таким образом, если вы хотите сохранить идентификатор пользователя, сохраните также хэш идентификатора пользователя с секретным ключом (в идеале, используя HMAC ), а когда вы хотите войти в систему, рассчитайте тот же самый хэш и сравните его хеш из печенья. Другое решение - создать случайный токен, сохранить его в базе данных и использовать его в файле cookie. Если он длинный и достаточно случайный, существует очень мало шансов, что кто-нибудь угадает токен другого человека.