Se si autentica un utente in base a un cookie in testo semplice con un nome utente, non è possibile garantire che chiunque abbia il cookie sia la persona che dichiara di essere. Chiunque può creare un cookie con qualunque nome utente vogliano. Spetta a te assicurarti di essere quello che dicono di essere.
Se conoscessi il nome utente di qualcuno, potrei creare un cookie con il loro nome utente e ignorare il login dell'applicazione ed essere chiunque io volessi essere se non ci fossero controlli sul lato server.
Invece di autenticare un utente che utilizza un cookie, suggerirei di utilizzare una sessione lato server e passare un identificatore di questa sessione all'utente per archiviare come cookie. Quindi, quando richiedono la tua pagina, puoi identificare chi sta usando le loro variabili di sessione sul lato server. Il problema con questo metodo è se l'identificatore di sessione è facilmente ipotizzabile che la sessione di un altro utente potrebbe essere dirottata, ma almeno in questo caso la sessione potrebbe essere cancellata sul server.