С чего бы вдруг? Тут речь о чем идет: если просто использовать хэш в ссылке, которая отправляется через почту, то при перехвате этой ссылки любой человек сможет авторизоваться.
Использование же куки позволяет ограничить это только одним браузером - тем, откуда изначально был сделан запрос.
Да даже если без перехвата
Я вот отправил тебе ссылку, которую прислали мне - ты авторизовался за меня - это если без куки. А с кукой хренушки, не получится так. Только я со своего браузера смогу.
_____________
*
Хэлп по PHP*
Описалово по JavaScript *
Хэлп и СУБД для PostgreSQL*
Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги. *
"накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)