Это ветвь другого вопроса: Как лучше всего реализовать «запомни меня» для сайта?

Главный ответ заключается в реализации этого: http://jaspan.com/improved_persistent_login_cookie_best_practice

Резюме:

Use a random number as a Series Token, and another as a Login Token. Place those in the Stay Logged In cookie, along with the username. Assign a second, normal Session cookie. Each time a user arrives without a Session cookie, consume the Stay Logged In cookie. Issue a new one, this time with a new random Login Token, keeping the Series Token the same.

Зачем включать имя пользователя? Как это помогает? Токена серии должно быть достаточно для идентификации пользователя и серии. В этот подход был добавлен маркер серии, чтобы предотвратить DoS-атаку, когда злоумышленник просто угадывает все имена пользователей и сразу попадает на сайт, выводя всех из системы. Но почему имеет смысл вообще оставлять имя пользователя?