Самый простой вариант - через cookie. После авторизации добавляется заголовок "Set-cookie" с уникальным идентификатором сессии. После получения заголовка "set-cookie" пользовательский браузер будет присылать этот идентификатор при каждом запросе. Соответственно обработчик получает идентификатор сессии из заголовка cookie, получает ассоциированную с сессией информацию из БД и использует (имя пользователя, корзина и т.д.).
Если нужно просто идентификатор пользователя, то можно вместо сессии отдавать в зашифрованном виде этот самый идентификатор. Тогда можно обойтись без хранения сессий, но такой подход совсем не безопасен.
Надо иметь ввиду, что с cookie много нюансов в плане безопасности.
