Большое спасибо за ответы!
Я разобрался. Как отметил @Сергей delphinpro, признак аутентифицирован или нет пользователь находится в самой сессии и имеет ключ login_web_.
Т.е. после аутентификации генерится новая сессия с этим признаком, передается клиенту и если в запросе он есть, то значит пользователь аутентифицирован.