Для того, что бы сервер смог доверять данным из кук - он на базе этих кук и секретного ключа создает хеш и ставит в эти же куки. Когда все получает обратно - проверяет.
Таким образом можно поставить куку admin=0 и пользователь не сможет сделать admin=1.
Это не защита от кражи кук, хотя в хеш можно подмешать и IP, например. Это защита от изменения их содержимого.
Все это можно выяснить самому за то время, что потрачено на посты на этом форуме.