Non sono proprio afferratissimo sull'argomento, ma il localStorage dovrebbe essere una sorta di database locale.
In quanto locale è accessibile da js e non da php.
Oltre a questo, l'autenticazione a mio avviso non deve essere in localstorage, ma neanche tramite i cookie... solo tramite la $_SESSION....
Che io sappia è l'unica cosa che ti permette di identificare univocamente il client con il server.