Moin,

Ein Login ist üblicherweise sessionbasiert. Beim Login wird eine Session gestartet.

ansich korrekt, aber es wird nicht zwingend eine Session auf dem eigentlichen Webserver/Applikation erzeugt. Es können vorgeschaltete Systeme zur Authentifizierung, Authorisierung und Verifizierung bestehen (Serverfarm, OAuth, Authentication Services etc.).

Solche Systeme prüfen bei einem eingehenden Request seine Gültigkeit (Authentication, Authorization allgemein). Die eigentliche Authorizierung für eine bestimmte Anwendung erfolgt in der Regel auf dem eigentlichen Webdienst bzw. dem zugrundeliegendem System. Erst dann wird eine Session mit diesem Dienst, von diesem Dienst, für diesen Dienst, erzeugt.

Möglicherweise hält der Dienst aber gar keine Sessions und operiert anhand von "View-States" und vertraut einfach dem vorgeschalteten Systemen zur Authentifizierung und Authorisierung.

Gruß