Вообще "вечную" авторизацию можно сделать храня ее в localStorage) Т.е. если куки истекли, а в локал сторадже есть данные для авторизации, то отправляем запрос, и получаем куки с нужной фигней. Из дополнительных плюшек - можно ставить короткое время жизни кук, ддосить свой серв, зато быть защищенным от действий мамкиных хацкеров ворующих куки. В теории можно сделать что в куки идет вообще какая-то дополнительная соль, работающая короткое время)