Olhando para os cookies do Gmail, é fácil ver o que está armazenado no cookie "lembre-se de mim". O nome de usuário / token de acesso único. Pode ser implementado de forma diferente nos casos em que o nome de usuário é secreto também. Mas o que quer que seja ... a coisa não é uma segurança muito alta: você rouba o biscoito e está pronto para ir.

Minha pergunta está no lado funcional, no entanto: quando você limpa seus tokens de acesso? Se um usuário efetuar loginsem clicando em "lembrar de mim" em outra máquina, deve invalidar seus tokens de acessotodas as máquinas? Estou perguntando como isso é tradicionalmente implementado e também como ele deve ser implementado.