いろいろ方法はありますが、それぞれのメリットデメリットを列挙します。
IDやパスワードはデータベースに保存してあるという前提で読んでくださいな。
1)一番簡単な方法
ログイン情報をフォームデータに持たせる
実装は簡単だけれども!笑
画面遷移するたびにフォームデータを次の遷移先に送り込まなければいけないので、ログインページが固定されてしまうなどのデメリットがあります。
2)セッションにログイン情報をもたせる
一般的と言うか安全で実装も比較的簡単です。画面遷移しても問題ないです。
1440秒以上経過したら切れます。ちょっと席を離れている間にログアウトしとるやないかい。。。という問題が発生します。
セッションにログイン済みであることを書き込んでおけば問題ないかと。
Sessionの有効期限に関してはこちらの過去記事参照
3)サーバーの有効時間を伸ばす
それは、、、、あかん!
4)クッキーにトークンだけを保存する
くれぐれもクッキーにIDとパスワードを保存しないように。。。笑
保存期間は自由に設定できます。
トークンを保存するのでその分、構築は複雑になります。
ログインが成功したら、発行したトークンをサーバ側とクライアント側の両方に保存します。
クライアントが保持しているトークンとサーバに保存してあるトークンが一致すればログイン済みとして処理
乗っ取りの危険性を減らすために、トークンが一致するたびに古いトークンを削除して新しいトークンを発行。
CookieはHttpOnly属性と、secure属性を有効にしてクロスサイトスクリプティング対策を忘れずに。
状況に応じて使い分けていただければ良いんじゃないかなーと。