Если при авторизации хеш в базе существует, то можете в куку записать данный хеш.
В каждом скрипте где необходимо проверять достоверность авторизации вы сверяете то что в куке и в базе, если количество запросов много, то можете через сессии задать время проверки(раз в 5 минут).
при таком подходе у вас будет следующий функционал.
вы мажете скинуть авторизацию пользователя, просто сменив хеш в базе.
В куках вы не храните реальной информации а пароле.
также при таком подходе вы можете сделать авторизации только на одном клиенте!
