Buenas!

Vengo a ver si me podéis resolver una duda respecto a la seguridad de la cookie :D

Estoy trabajando con la API "PEPITO" para hacer login mediante la API de esa web

El usuario si esta logueado en pepito.com, mediante la API puede hacer login en otras webs que lo permitan.

Si el usuario le da a un boton para hacer login mediante PEPITO, este boton le rederige a pepito.com/auth, si el usuario le da a continuar/permitir, pepito.com/auth envia a miweb.com sus datos, como por ejemplo su IDUSUARIO.

Yo con esa IDUSUARIO compruebo si el usuario ya existe en la db, si no existe creamos el usuario y si existe pues directamente pasamos a hacer login.

Y aquí viene mi duda referente a la seguridad de esa cookie.

¿Como hago para que la cookie no se pueda manipular/robar e iniciar sesión con otro usuario?

Tenia pensado hacer lo siguiente:

Generaramos un TOKEN cifrado al azar
Guardar el token en la base de datos IDUSUARIO -> TOKEN
Guardar en la cookie, su ID usuario y el TOKEN

Después en algunas paginas comprobar si el usuario esta logueado:

Compruebo si $_COOKIE['IDUSUARIO'] existe en la base de datos
si existe paso a comprobar si tiene el mismo token

"$_COOKIE['token'] es igual al 'token' de $_COOKIE['IDUSUARIO'] en la base de datos ?"


Bien, aqui el punto 1 de modificar la cookie para entrar con otro usuario se soluciona, no?

Pero si da el caso de que al usuario le roban la cookie?
Podría hacer login solamente con la cookie, como soluciono esto?


Espero haberme explicado mas o menos bien