grisha
Так, тут нужен ликбез.
Отвечаю развернуто.
Задача скрипта аутентификации - определить, кем является пользователь. Чтобы потом дать эти данные скрипту авторизации, который определит, что этот пользователь может/не может делать.
Часто эти скрипты совмещены в один.
Таким образом, нам нужно на основании каких-то данных определить, что это за пользователь.
Простейший способ - получить от пользователя логин и пароль. Проверив их, сделаем вывод: может ли пользователь выполнять некое действие.
Однако, запрашивать у пользователя каждый раз его логин и пароль во-первых, неудобно (хотя, например, HTTP Basic Auth в браузерах именно такую схему и использует, снимая с пользователя заботу о постоянной передаче учетных данных), во-вторых - небезопасно (учетные данные летят по сети при каждом запросе).
Поэтому имеет смысл выдать пользователю после первого входа некий идентификатор, который сложно подобрать и который действует ограниченное время, а на сервере соотносить идентификатор с учетными данными. Чтобы он не истек раньше времени, можно пользователю при ответе и новый выдать.
Именно эта схема используется во всех сессионных и псевдо-сессионных механизмах, а идентификатор называется session id.
Однако, есть способы обеспечения безопасности, от серверных скриптов мало зависящие. Например, HTTPS. HTTPS - это передача HTTP траффика через канал передачи, защищенный при помощи протоколов SSL и/или TLS. SSL - защита соединения, TLS - канала передачи. Связку SSL/TLS часто называют туннелирующей, т.к. из такого канала получить передаваемые данные достаточно сложно.
Для PHP такой канал ничем не отличается от обычного HTTP. Настройки производятся на http-сервере.