补充一下，一般web应用实现session的方式还是以cookie为主，cookie会被带在登录以后的所有http请求的head中，判断起来非常方便。对于需要登录状态才能查看的页面，可以在业务逻辑中加一个检查cookie的中间件或者说拦截器，判断用户是否带了cookie 并且cookie是否过期。如果确认无误则反回正常的页面，否则把他重定向到登录页面。一般是这样的逻辑。

另外，还要强调一下的是，密码不要直接放在http post接口的参数里明文传输，至少做个aes或者md5，否则你的用户登录密码全都暴露给网络中间层各级路由了。当然，加密传输也不是绝对安全的，毕竟web客户端的业务逻辑源码都在js里。对于一套商用b/s系统，登录页面至少应该上https。希望能帮到你。