kealon(Ruslan)
не вижу смысла делать "свое наподобие"
X11
в общем случае, безотносительно UniGUI
HTML -
stateless протокол . Это значит что информацию, по которой сервер может идентифицировать клиента/сессию надо передавать с каждым запросом.
Этой информацией может быть как сама пара логин-пароль (
basic схема), так и хеши с их участием (digest, ntlm). Basic-аутентификация самый простой способ в реализации и поддерживается всеми браузерами, но не безопасен без HTTPS. Если credentials не переданы браузером или они не верные, сервер отвечает статусом 401 и браузер показывает окошко для ввода логопаса. Введенные клиентом креды будут автоматом передаваться браузером с каждым запросом к этому серверу. Запомнить логопас можно в хранилище паролей браузера. Выйти и зайти под другим пользователем можно только закрыв браузер (возможно, в анонимной вкладке, не проверял).
Вариант когда ставится кука с идентификатором сессии
тот самый вариант, когда ты видишь галочку запомнить меня
Клиент сабмитит HTML-форму с логопасом. Сервер, если все ок, генерит идентификатор сессии (должен быть достаточно сложным, чтобы нельзя было подобрать перебором), сохраняет идентификатор в хранилище (куда и как отдельная тема, с идентификатором так же могут храниться доп данные). Сервер отвечает клиенту статусом 302 - перенаправление на страницу отличную от формы аутентификации. В этом же ответе устанавливает куку со значением идентификатора сессии. Теперь браузер при каждом обращении к серверу будет отправлять эту куку, по значению в которой, сервер и будет проверять авторизован пользователь или нет.
Если не задавать время жизни для куки, она будет жить до закрытия браузера. Галочка запомнить меня как раз конвертируется в установку времени жизни сессионной куки.
При выходе сервер удаляет сессионные данные из хранилища и удаляет куку с клиента.
ps
Есть еще варианты с токенами, но оно обычно используются для доступа к API, в случае вебприложений применимо только к SPA.
