te lo hare "cortito, y al pie" como decimos aqui en Argentina:
tu haces todas las cmprobaciones y creas las cookies para luego redirigir al usuario autnticadoa una pagina sin una p**a preoteccion (resumen.php), lo cual es lo mismo que el usuario escriba
www.tuweb.com/resumen.php y listo, y no hace falta login ni nada, te esta fallando un pokito la logica, pero vas por buen camino....
si luego tengo mas tiempo te doy un ejemplo utilizable simple (esto quiere decir que no sera seguro al nivel de decir, es casi perfecto, solo será mas seguro que el tuyo, pero un script de estas caracteristicas lleva un tiempo pensarlo y depende del sitio en el que se implemente.... etc etc etc, y ademas llevan un toke personalizado, por lo cual si te lo hiciera "muy perfecto" estaria copiando el login de mi web y por ende dandole el code a otros para que si he cometid un error me ataquen por alli.... en fin, leugo te tiro una mano, ahora estoy algo ocupado...)