Nel cookie salvo un valore calcolato che comprenda sia l'ID che un hash di sicurezza.

Quando avvio la sessione, verifico la presenza del cookie, ne analizzo il contenuto, confronto i dati nel DB, convalido l'hash e, se tutto va a buon fine, imposto le variabili di sessione come se l'utente avesse fatto il login.