En cuanto a las cookies de Gmail, es fácil ver lo que está almacenado en la cookie "recordarme". El nombre de usuario / token de acceso único. Podría implementarse de manera diferente en los casos en que el nombre de usuario también sea secreto. Pero sea lo que sea ... la cosa no es una seguridad muy alta: robas la cookie y estás listo para empezar.

Sin embargo, mi pregunta está en el lado funcional: ¿cuándo borra sus tokens de acceso? Si un usuario inicia sesiónsin Al hacer clic en "Recordarme" en otra máquina, debería invalidar sus tokens de acceso entodas las maquinas? Estoy preguntando cómo se implementa esto tradicionalmente, y también cómo se debe implementar.