Der Sitzungsverwaltungsprozess umfasst im Großen und Ganzen alle Benutzersteuerungsmechanismen von der Authentifizierung bis zum Verlassen der Anwendung. HTTP ist ein staatenloses Protokoll, d. h. Webserver reagieren auf Clientanforderungen, ohne eine kontinuierliche Verbindung zu diesem Protokoll herzustellen. Daher erfordert selbst eine einfache Anwendung, dass der Benutzer mehrere Anforderungen sendet, bevor eine Sitzung mit ihm verknüpft wird. Dies geschieht in der Regel über ein entsprechendes Identifikationstoken, das als Sitzungs-ID oder Cookie bezeichnet wird. Es sollte untersucht werden, wie die Anwendung die Sitzung verwaltet und ob dies möglich ist. Das folgende Bild zeigt eine POST-Anforderung an den Anwendungsserver zur Autentifizierung des Benutzers.
Die nächste Zeichnung zeigt die Serverantwort an, die für den Benutzer das ASPXUSERWU-Token als Sitzungs-ID festlegt.
Jede nachfolgende Anforderung an den Server wird zusammen mit einem vorab festgelegten Sitzungstich gesendet, wie in der Grafik unten dargestellt.
