Сессии+куки

Знаю как сделать авторизацию через сессии а вот как скомбинировать с куками для безопасности? В гугле чтото ненашел ответа. Если можно пример. С меня +

Эээм.. а как по твоему куки повышают безопасность?
В данном случае в куки просто записывается id сессии (вообще в зависимости от настроек, но по-дефолту автоматически).
Но если в браузере отключены куки, то id сессии будет передаваться в URL (по-дефолту вроде параметр PHPSESSION)

У меня ничего нет в адресной строке... Тоеесть можно и не париться?

Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)

Ну с меня +

Так точно. Данные будут храниться в сессии до истечения TTL.
Можно сделать какой-нибудь механизм возобновления сессии, тогда в куки придётся писать какой-нибудь идентификатор, по которому однозначно можно установить пользователя, и что он авторизован (очень часто хранят логин+пароль, но я считаю это не правильно, токены наше всё)

токен это тот же пароль, с другим на званием.
в куках не хранят пароль, только хэш. что тоже является токеном, можно организовать примерно такой пасс+ип+браузер+номер месяца. захэшировать и получить такой же токен, только процесс идентификации усложнится и все.
имея нормально организованный хэш,сбрутить пароль практически не реально, а просто зайти не позволит вменяемая система защиты.
все эти псевдо-новые подходы, все те же старые, только теперь конфетки заварачивают не в один фантик, а в три, вот и все