Grazie per le risposte,

Solitamente salvo un codice generato che include l'ID dell'utente ed un hash basato su un secret e, ad esempio, l'user agent. In questo modo è più difficile che un attaccante riesca ad ottenere i privilegi dell'utente inserendo ID casuali.
salvi il codice nel cookie e nel database per poi confrontarlo una volta che si rilogga, giusto o non ho capito una mazza?