login.. creo id di sessione e richiedo user e pwd..
..controllo su database e se ok creo nuova variabile di sessione per dire che sei autenticato..

..le variabili le faccio scadere dopo diciamo un'ora o anche meno se non vengono "rinfrescate" dall'apertura di altre pagine..

logout.. cancello la sessione in toto..