cookie弊端：安全隱患非常大，黑客容易通過偽造本機cookie繞過驗證。

我用的是這種方式。

 如果用戶登錄了，保存用戶信息到cookie中。同時生成用戶對象的session。

 當驗證登錄時，先從session中找用戶，如果session中找到用戶，說明已經登錄，直接使用此用戶對象，如果session中找不到，再從cookie中找用戶信息(用戶名和密碼)，如果cookie中有，則查詢數據庫，再生成相應的session，如果沒有，就讓用戶手動登錄。

數據庫中用戶的密碼使用md5(你也可以使用特定的算法加密碼，甚至直接用明文)，用戶信息可以把用戶名，md5加密后的密碼保存到cookie中。

session弊端：session有時間限制，單純用session肯定會導致用戶莫名其妙退出。