Vale, si quiero PHPSESSIONID permanente he de camiar el valor de session.cookie_lifetime en php.ini
En un hosting compartido esto podre hacerlo? O si quiero hacerlo bien debería hacer mis propias cookies y guardar los datos de sesión en la Base de datos, y no usar las sesiones de php?

Respecto a los Authentication Token, ya he visto que son para evitar ataques tipo CSRF y otros, y es un codigo para poner en formularios y demás, es decir es otro tema.