Eso se hace generando una clave y guardándola en la máquina (por ejemplo en la base de datos), y luego guardando una copia de esta clave en una cookie o algo (sessión en tu caso). Si ambas coinciden entonces se puede considerar como identificado, si no, no. La clave cambia cada vez que se identifiquen y luego tiene una caducidad.