Reconozco que hasta hace pocos dias en mis aplicaciones guardaba las contraseñas en la base de datos utilizando un hash SHA-256 salteado con carácteres aleatorios. Resulta que eso está mal, muy mal así que me he puesto las pilas y he pasado el mecanismo a un sistema más moderno.

Ahora guardo las contraseñas usando BCrypt.

Ah! Y recordad que el token que usamos para un login persistente es, a efectos prácticos, una contraseña. Así que toca guardarlo de la misma manera. En mi caso genero un UUID que envio con la cookie y lo guardo también con BCrypt.