Bhe, vedi, io ancora non ho affrontato completamente il problema e mi sto documentando. Però sai che l'http non ha uno stato cioè non distingue chi gli fa le richieste nè ricorda le richieste precedenti. Deriva da quello che era arpanet e all'epoca non era ancora stato sviluppato niente per cui servisse uno stato. Di conseguenza io credo che per poter identificare l'utente i metodi siano effettivamente solo due: cookie e query string dell'url. Oppure si potrebbe utilizzare l'ip ma quello non è abbastanza sicuro! Credo.