Вот уж не знаю чего вам хочется сделать.
Ну может так будет понятно. Вы не раз производили авторизацию на различных сайтах. Посмотрите код страницы входа на этих сайтах, вы найдете на них "подсказку" в виде вашего логина и пароля, которые сервер "любезно" разместит на странице? Вряд-ли, в противном случае на такой "защищенный" в кавычках сайт может зайти любой проходимец.
Если вы генерируете несколько значений для входа (почему несколько и что с этим количеством нужно делать, я не знаю, это уже вам виднее), то сервер это значение/значения записывает у себя. Записать его можно в сессии либо в базе, если сессия не работает (куки у пользователя выключены, за что вообще можно и отказать во входе, это тоже решать не мне), либо в базе.
Клиенту отдается только форма, в которой он должен ввести некое значение. Клиент ввел, отправил, сервер принял, сравнил, если ОК, дает вход и удаляет сохраненное в сессии/базе.
Если ваши тикеты, это дополнение для входа (к логину и паролю), то пользователь уже сам пусть решает где их хранить у себя, в текстовом файле ли, в тетрадке или рядом на обоях. А вот сервер эти тикеты, как и логин с паролем, конечно же хранит в базе, и только он проверяет достоверность этих данных, а не клиент.