Почти год прошел, но все же)

Я сейчас делаю так. логинится пользователь, создаем сессию для него, ключ сессии - в куки. Вметсе с ним в куки зашифрованный функцией crypt токен - его в базу. закончилась сессия - расшифровываем токен и проверяем. нормально - выдаем новый сес ключ, не подходит - пошел вон)