В целях безопасности в сессии имеет смысл хранить только идентификатор пользователя и идентификатор в виде хэша от IP пользователя + User Agent пользователя + Соль. Таким образом вы всегда сможете проверить принадлежность сессии данному пользователю, а также оставите за собой возможность контроллировать сессию при смене пользователем IP адреса или браузера.
Во-первых, покажите полностью ваш .htaccess.
Во-вторых, ваша проблема может состоять в том, что исходный адрес изменяется следующими правилами RewriteRule.
# Исключение по расширению файлов
RewriteCond %{REQUEST_URI} !(jpg|png|gif|ico)
# Дальше всё по старому
RewriteCond %{REQUEST_URI} !/$
RewriteCond %{REQUEST_URI} !\.
RewriteRule ^(.*) %{REQUEST_URI}/ [R=301,L]
