不知道樓主用的什么框架，樓主可以考慮一下shiro進行一定的安全驗證和權限驗證。

你這個需要就是差不多用戶登錄，一個用戶登錄之后會保存改用戶信息的，如果用戶增傷改查是不會影響到其他用戶

基本思路是正確的，如果只用cookie，要注意加密信息，防止用戶簡單修改cookie信息，由A切換為B。
session安全性能好點。
你這個屬于權限驗證。cookie或者session存儲當前用戶身份。每次請求，服務端核對用戶身份和資源之間的對照關系，判斷是否非法請求。 用戶和資源之間的對照關系，這個一般存放在服務端數(shù)據(jù)庫，保證了信息安全。

如果是MVC類型的工程，可以使用Cookie、Session，如果是RESTful API則不能(接口是無狀態(tài)的，不可能使用Cookie、Session來記錄狀態(tài)的)，通常使用OAuth2、OpenId、JWT等方案實現(xiàn)。