Возможно, вы все равно захотите перенаправить (с HTTP 301 - Permanent Redirect) один на другой, так как поддерживать согласованные URL намного проще. Поэтому, что бы вы ни решили, просто убедитесь, что настоящая аутентификация выполнена после перенаправления, и пользователи, выглядящие иначе, не будут проблемой.
Тем не менее, если вы хотите www или нет, полностью зависит от того, как работают другие вещи в вашем приложении. Вы упоминаете, что куки для domain.com будут сохранены для всех поддоменов - это то, что вы хотите? Вам когда-нибудь понадобится провести различие (например, разрешив пользователям настраивать свои собственные системы аутентификации для поддоменов, как это может сделать сервис общего хостинга)?
Если ни одно из обнаруженных различий между включением и исключением www не имеет значения для вашего приложения, я бы выбрал , а не , используя www. Основной причиной этого является мое представление о текущих тенденциях в Интернете - все больше и больше приложений (пример тому - SO), как правило, пропускают www, как при ссылках на свои собственные сайты, так и при маркетинге различного рода. .
Однако главное - это заставить оба работать . Вы не хотите, чтобы ваш сайт ломался, потому что пользователь (не делал) набрал www в начале URL.