Я просто пишу 2 куки, 1 с идентификатором пользователя и 2 с 1/2 хэшем пароля SH1 (соленый). То, как это работает, самоочевидно.

Я понял, что я делаю это не самым безопасным способом. Какой лучший способ сделать это? Желательно использовать один файл cookie для аутентификации.

Кроме того, есть ли смысл использовать «трудно вычислять хэши»? Под этим я подразумеваю, используя bcrypt или хэшируя каждый элемент 10 000 раз с помощью Whirlpool, чтобы сделать его (относительно) медленной хеш-функцией (200 мс против менее 1 мс просто SHA1)? Я имею в виду, если кто-то взломает вашу БД и получит хэши .... что там еще нужно защищать, так как все ваши данные находятся в одной БД (если у вас нет какой-то децентрализованной установки, которую я не делаю).