Esta es una rama de otra pregunta:¿Cuál es la mejor manera de implementar "Recuérdame" para un sitio web?

La respuesta principal es implementar esto:http://jaspan.com/improved_persistent_login_cookie_best_practice

Un resumen:

Utilice un número aleatorio como token de serie y otro como token de inicio de sesión. Colóquelos en la cookie de inicio de sesión, junto con el nombre de usuario. Asignar una segunda cookie de sesión normal. Cada vez que un usuario llega sin una cookie de sesión, consuma la cookie de inicio de sesión. Emita uno nuevo, esta vez con un nuevo token de inicio de sesión aleatorio, manteniendo el token de serie igual.

¿Por qué incluir el nombre de usuario? ¿Cómo está ayudando eso? El token de la serie debería ser suficiente para identificar al usuario y la serie. El token de la serie se agregó en este enfoque para evitar un ataque DoS en el que un atacante solo adivina todos los nombres de usuario y golpea el sitio de una vez, y cierra la sesión a todos. Pero, ¿por qué tiene sentido dejar el nombre de usuario en absoluto?