pablos:
normalmente un webserver in fase di autenticazione crea una "sessione" per il client e invia un identificativo (session_id) tramite cookie al browser. nelle connessioni successive il browser invia al server il cookie contenente il session_id, il server accede alla sessione in base a tale valore e se questa è valida (non è scaduta...) ritiene il client autenticato.