Обычно авторизация возвращается токен (можно например в виде JWT) который передается в фронтенд, фронтенд проверяет токен проверкой подписи или серверсайдным запросом и проставляет куку.
Ссылка, начинающаяся с / это ссылка от корня сайта, она является абсолютной в пределах сайта.
base действует только на относительные ссылки, т.е. чтобы брался путь из base, ссылка должна быть не /link1 а link1
