Imho стандартное решение:
При авторизации пользователя по логину-паролю генерим некую длинную строку (токен), записываем в базу, + пишем в куки.
При каждом запросе пользователя берем этот токен из кук и проверяем есть ли такой.
По желанию можно докрутить время жизни, проверку ip итд итп.
