Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)
токен это тот же пароль, с другим на званием.
в куках не хранят пароль, только хэш. что тоже является токеном, можно организовать примерно такой пасс+ип+браузер+номер месяца. захэшировать и получить такой же токен, только процесс идентификации усложнится и все.
имея нормально организованный хэш,сбрутить пароль практически не реально, а просто зайти не позволит вменяемая система защиты.
все эти псевдо-новые подходы, все те же старые, только теперь конфетки заварачивают не в один фантик, а в три, вот и все