session 与 cookies 如何用才最安全

有人说session 用多了会占用服务器很大得资源。
但也有说Cookies 在客户端不安全。。


我现在一直是这么操作的，用的时COOKIES 登陆时用COOKIES设置用户名及密码，COOKIES密码加密，并设置COOKIES的域名和路径的访问权限，用户中心先检测COOKIES是否为空，不为空然后查询数据密码核对，有人建议密码设置用session设置，但不知如何配合才安全.....

可以用cookie, 登录后，不必带密码。
一般过程是用 用户名和密码（Credential）登录后，
取出 id, 用户名等(Identity)，角色(Principal) ，IP，登录时间等 以及其他必要的信息，比如部门等(Profile)
将上述数据序列化后，加密(用公开的加密算法，密钥可保存在服务器端) 在cookie保存。
验证的时候，只要解密取得id和角色等就可以授权访问了。