Ich werde mal ein Beispiel entwickeln. D.h., daß es schon eine HTTP-Session gibt nur mit dem Unterschied zum bisherigen Sessionverständnis, daß es keine zufällig erzeugte Session-ID gibt sondern anstelle dessen die Benutzerkennung als Crypt von Benutzername und Passwort. Infolgedessen wird nach einem erfolgreichen Login nicht etwa eine Session-ID gesendet sondern Benutzername+Passwort bei jedem Request und zwar so daß der Benutzer davon praktisch gar nichts mitbekommt.

Es ist unerheblich ob man dieses Geschnatter über einen Cookie abwickelt oder über versteckte Formularfelder. Wobei die Cookievariante den Vorteil bietet, daß die Credentials auch bei einem GET-Request mitkommen.

Serverseitig wird also nicht etwa geprüft ob die Session gültig ist, sondern ob zum Benutzername ein gültiges Passwort geliefert wird. Quasi wie beim Login.

Für anonyme Warenkörbe ist sowas freilich nicht geeignet.

Mfg