HTTP без состояния: как реализуются сессии

HTTP протокол статeless – каждый запрос не "помнит" предыдущих. Для реализации сессий сервер использует идентификатор сессии, например, куки с уникальным session_id, который привязан к состоянию на сервере (или в JWT-токене, содержащем состояние). Браузер отправляет куку с session_id на каждый запрос, позволяя серверу ассоциировать запрос с сохраненным состоянием пользователя.