Cita: - LOS PERMISOS Y OPCOINES DEL SISTEMA DEBEN SER ASIGNADOS POR PERFILES.
En ese sentido están hablando de Roles, una cosa es autenticacion y la otra la autorizacion, para que te des una idea... estaríamos hablando de 3 tablas..
Usuarios -> Usuarios Roles -> Roles
Cita: NO SE DEBE UTILIZAR COOKIES PERSISTENTENS PARA IDENTIFICAR EL PERFIL DE USUARIO.
Puedes ocupar sesiones, aunque sería bueno ocupar las cookies de forma encriptada solo para guardar los roles, o si no acepta cookies el cliente puedes forzalo con cookieless.. depende tu estructura.