Este é um ramo de outra questão:Qual é a melhor maneira de implementar "lembre-se de mim" para um site?

A principal resposta é implementar isso:http://jaspan.com/improved_persistent_login_cookie_best_practice

Um resumo:

Use um número aleatório como um token de série e outro como um token de logon. Coloque aqueles no cookie "Stay Logged In", juntamente com o nome de usuário. Atribuir um segundo cookie de sessão normal. Sempre que um usuário chega sem um cookie de sessão, consuma o cookie Permanecer conectado. Emita um novo, desta vez com um novo token de login aleatório, mantendo o token da série igual.

Por que incluir o nome de usuário? Como isso está ajudando? O token da série deve ser suficiente para identificar o usuário e a série. O token da série foi adicionado nesta abordagem para evitar um ataque DoS onde um invasor adivinha todos os nomes de usuário e atinge o site de uma vez, registrando todos. Mas por que faz sentido deixar o nome de usuário?