Sesja jest potrzebna między innymi po to, żeby zsynchronizować obie części aplikacji internetowej (w tym wypadku w postaci strony dynamicznej) klient-serwer. Nie można dopuścić żeby ktoś na przeglądarce połączył się z sesją innego użytkownika na serwerze. Synchronizacji dokonuje się przez zapisanie w obu częściach programu numeru sesji. Może to być robione na trzy sposoby.
jako tak zwane ciasteczka
jako numer przekazywany w adresie strony, parametr na końcu
jako pole ukryte zmiennej formularza
Najbardziej podoba mi się sposób trzeci, bo nie zmuszasz użytkownika do używania ciasteczek, co do których są podejrzenia że służą do śledzenia działań użytkownika. Nieprzyjemne jest gdy serwer wymusza ciasteczka dając komunikat "włącz ciasteczka bo inaczej się nie zalogujesz".