• Erzuege zufälligen Schlüssel und setze ein Cookie + verschlüsselte ID .
• Cookie da? Entschlüssel.

Warum?

Im Cookie steht ein beliebiger Hash, mehr nicht. Meintwegen den Namen deiner Mutter in binärer Form multipliziert mit einer Zufallszahl + den aktuellen Zeitstempel in Millisekunden als und das Ganze dann als 128-bit-Hash in beliebiger länge inklusive Prüfung, ob der Wert schon existiert oder nicht (bei einer 39-stelligen dezimalzahl kann es auch zu Doppelungen kommen).

Meinetwegen nutzt du auch uniqid().

Mehr muss der Client nicht wissen - alles andere (die Nutzer ID, den aktuellen User-Agent zum Loginzeitpunkt, die IP-Adresse - was auch immer du haben willst) bleiben IMMER zu jeder Zeit am Server. Nichts wird ver- oder entschlüsselt.