Hola ArrauKano,

Lo que yo hago es lo siguiente, guardo 4 cookies en el cliente, uno es el Auth Session ID (un hashtoken que guardo para mis sesiones), el UserId tal cual de la DB, Session name, el nombre de la aplicación actual (uso muchos sistemas multi aplicación), y Password (uso un algoritmo propio para encryptar y desencryptar el password).

Con esas 4 cookies cuando el usuario regresa compruebo si el session ID es valido, luego checo que el usuario exista en la DB, posteriormente desencripto el password (usando un salt que esta guardando en el server junto con el session id y session name) y comparo si son iguales, si lo son le permito el paso, en caso contrario no le doy acceso y tiene que volver a entrar a la aplicacion.

Saludos.