你这个问题其实是两个问题
1，cookies 和 session 的方式安全吗？安全，不然也没有什么其他办法用户记录用户状态啊。所以用户登录成功以后在服务端生成session并在客户端生成 cookies，让它们彼此联系用户下次用户从客户端请求服务器端的时候携带 cookies 能找到 session。但是你需要使用一个随机的或者 UUID等不方便识别的作为cookies存在客户端，然后自己手动绑定其和session的关系。当然使用 HTTPS 以后会更安全。
2，有的接口需要有的接口，可以使用拦截器通过 API 的 mapping 控制精细的权限校验。

Cookie存身份认证的信息，比方说角色，服务器可以生成cookie，通过key验证是否为自己生产的cookie，没有cookie或者不是服务器生成的cookie就是未登录，遇到权限页面可以通过解析cookie中的信息（即role）来判断是否允许放行，没有必要存取重要的用户信息，建议研究一下jwt和无状态授权

可以存是可以存，但是存了也没用啊，难道客户存哪个id你就认为这个id是合法登录用户吗？

这应该配合服务器Session进行验证，因为在本地的cookie是可以被随意修改的，在本地不应该储存重要的用户信息（如密码）