» also meinst du, dass ich besser ein cookie verwende als eine session?!

session und cookie schliessen sich nicht aus. das cookie wird clientseitig (also im browser) gespeichert und enthält die session id, die session selber liegt beim server. dort werden dann die "geheimen" daten gespeichert, also dein schlüssel.

der schlüssel darf auf keinen fall beim client gespeichert werden, weil dieser den dann ja ändern, also das login umgehen könnte