Каждый раз при роутах, через middleware проверяю идентичность куки и хэша записи бд.
Если все ок, пропускаю.
эмм, не совсем корректное решение
кука должна только сообщить серверу что пользователь был авторизован и его нужно заново авторизовать если сессия закончилась... (браузер закрыли)
логика должна быть такая - пользователь вводит логин и пароль, выбирает галочку "запомнить"
сервер создает сессию на этого пользователя и создает куку
пользователь покинул сайт (закрыл вкладку/браузер), потом вернулся - сервер смотрит:
- авторизован?
если нет - может кука есть?
кука есть - авторизуем - то есть создаем новую сессию
а если и куки нет или уже закончилась по времени - тогда пусть по новой авторизуется