登录只用cookie有什么弊端吗？

session 的储存位置是你的服务器，一般有效期是会话周期。session的主要根据保存在客户端的cookie中的session_Id判断，适合储存敏感信息。
cookie的储存位置是客户端，对用户是可见的，可以用户保存用户登录的凭证，但是建议设置成服务器只读 HttpOnly，禁止js操作cookie。（关于 HttpOnly 谷歌一下）
一般的实行自动登录是使用cookie，在登录后保存一个临时的机密信息使用session（因为session保存在服务器端）。
同时服务器端也应该做出防范措施，包括生存Token的随机性，完整性、不泄露用户信息、远程销毁等。
唯一的问题是cookie会增加网络流量，宏观表现是当cookie体积变大后，网络请求会变慢。