У меня мало вопросов по обеспечению сеансов и файлов cookie.
Читайте: Быстрый переход на безопасные и безопасные сеансы PHP.
Есть несколько способов хранения данных сеанса:
Если вы не передаете данные сеанса (т.е. Ваша база данных находится на другом сервере или ваша memcached работает на нескольких серверах, и вы не уверены, что она использует TLS для связи между узлами), вам обычно не нужно ничего делать данные сеанса.
Авто-логин - это действительно сложный вопрос и отдельная проблема с обычных сеансов. Ранее я писал об защищенных куках "запомнить меня".
Прочтите ссылку в # 2. Не сразу понятно, что вы здесь описываете, но это звучит сомнительно.