Das überprüfst du nur einmal am anfang beim login. Wenn es das der richtige User ist, legst du eine entsprechende SessionID an. Danach kannst du das nicht mehr 100 prozentig verifizieren. Du kannst lediglich dinge prüfen, die den user-kreis einschränken,wie IP etc.

Cookies tauscht man in der regel aber nicht untereinander.