То есть получается при авторизации сервер ВК присылает мне ID юзера и токен. Я проверяю, есть ли такой user id в БД. Если есть — ставлю какую-то куку. А что хранить в куке? Если тот же user id, то я получается, могу подменить кукис у себя в браузере и зайти на сайт как любой пользователь. Либо хранить user id и токен? Безопасно ли это? Или надо генерировать какую-то третью hash-строку, которую совать и в куки и в БД?