Храните в куки открытые данные, и хеш от этих данных + private key
На стороне сервера валидируете при чтении из куки эти данные по хешу если куки подменили хеш не совпадет!
при авторизации кладите в cookie например id пользователя, name, еще какую либо инфу (которую не жалко если уйдет налево)
генерируете тонкен на основе id+infa+private_key этот же токен кладете в куку вместе с данными по пользователю
Далее при переходе между страницами смотрите куку, читайте id, info, token, на стороне сервера заново вычисляете token2 id+info+private_key и сравниваете с token который в куках, если они не совпадают то ,была подмена в куках - пользователя на страницу авторизации, если совпадают то пользователь достоверен на 90%.
Если пользователь совершает какие-либо действия - (сохранение, заказ итд на запись в БД) то можно дополнительно обращаться к БД в таблицу с пользователями и по ID вытаскивать данные проверять что есть тот за кого себя выдает.
Плюсы метода:
при переходе от одной страницы к другой вам не надо каждый раз лезть в БД и вытаскивать пользователя, все данные есть в куках
Минусы: можно посмотреть что есть в куках (но эту проблему можно решить шифрованием)
Для начала определите для себя критерии безопасности. Если вы хотите безопасно хранить пароль, это одно. Если хотите, к примеру, зашифровать данные пользователя по новому гостовому алгоритму, это другое. А вообще изучите реализацию в любом из фреймворков.
Средний