Хммм, въпросът е доста обемист. Мисля да ти спомена накратко, а ако се интересуваш подробно, ще продължа.
Значи, най-разпространени са две системи:
1.cookie
2. sid (session id).
независмо, коя ползваш, номера е между страниците да "разкарваш" уникална информация, с която да разпознаеш потребителя. Това обикновенно е някакъв стринг, генериран на случаен принцип. Този стринг го генерираш при логване на потребителя и го записваш на сървъра (най-често в DB), като срещу всеки стринг седи даден потребител. Стринга го пускаш на потребителя чрез hidden поле или в cookie. Когато на следващата страница потребителя ти върне стринга (през cookie или през променлива в url-то)
ти по него разбираш кой точно потребител иска нещо от теб.
Обикновенно тези стрингове се наричат сесии и си имат expire time. Когато то изтече - на потребителя се отказва облужване.
Проверката може да се прави и на базата на IP и този стринг, така се прави двойа сигурност. Там обаче има един друг проблем, но за него - друг път.

Дано да не е много объркано. Това е накратко, но , както ти казах, въпроса е доста обемист, както всички въпроси, свързани във сигурността.