自動登錄，系統將保存一個標志到用戶的Cookie,比如保存1個月等
用戶再次訪問時，需要判斷這個標志。
但如果這個標志被人竊取，那么這個人將可以仿冒此人。

竊取我們是不能避免的。但我們可以最大限度的減少損害，特別是在知道被盜時。

我考慮的一個簡單做法
1 自動登錄的標志，要和當前的密碼和最后修改日期掛鉤。 也就是生成算法里面要包含密碼和修改日期，當然生成的標志里不會出現密碼明文了。

2 登錄時，根據當前密碼等再次計算標志，如果不等，則證明用戶已經修改了密碼，不能再次登錄

3 用戶修改密碼時，保存最后修改日期。

以上的步驟，唯一需要修改的就是標志的生成算法。但卻可以最大限度的保護用戶的信息。

用戶可以定期的修改一下密碼，這樣那些竊取的Cookie就失效了，因為最后修改日期不同了。