自动登录，系统将保存一个标志到用户的Cookie,比如保存1个月等
用户再次访问时，需要判断这个标志。
但如果这个标志被人窃取，那么这个人将可以仿冒此人。

窃取我们是不能避免的。但我们可以最大限度的减少损害，特别是在知道被盗时。

我考虑的一个简单做法
1 自动登录的标志，要和当前的密码和最后修改日期挂钩。 也就是生成算法里面要包含密码和修改日期，当然生成的标志里不会出现密码明文了。

2 登录时，根据当前密码等再次计算标志，如果不等，则证明用户已经修改了密码，不能再次登录

3 用户修改密码时，保存最后修改日期。

以上的步骤，唯一需要修改的就是标志的生成算法。但却可以最大限度的保护用户的信息。

用户可以定期的修改一下密码，这样那些窃取的Cookie就失效了，因为最后修改日期不同了。