В качестве ключа для автоматического входа нужно использовать идентификатор открытой сессии.
Ни в коем случае не хранить пароль.
Нежелательно светить логин и id, по которому авторизовывались.
Идеально, держать подальше идентификатор сессии от JS скрипта, сделать куку только http only и позволить проверять ее только серверу.
Да. Время жизни куки сессии авторизации можно установить такую же, какое макс. время жизни самой сессии авторизации.
При обращении пользователя к серверу, на сервере проверяется, есть ли эта кука, по куке сессии из базы данных определяется, жива ли сессия, и к какому пользователю она принадлежит. Если все актуально, то достаются из базы все необходимые параметры пользователя для поддержания авторизованного состояния.
Если сессия просрочена, или вообще закрыта из другого устройства. То до свидания, уничтожаем куку, авторизованное состояние не восстанавливаем, шлем пользователя на авторизацию.
