La idea es esa, estimado. Básicamente tienes una interfaz inicial con un área de identificación o login; se realiza el envío de los datos mediante una petición asíncrona; se crea la sesión en el lado del servidor (registrando en la sesión todos los datos se desee registrar) y tan solo se devuelve una respuesta. Como la sesión se encuentra activa, si el usuario navega por un área de la aplicación web con restricción de acceso (tiene que estar identificado), al haber una sesión iniciada previamente (mediante la petición asíncrona), el acceso será normal, caso contrario, se le rechaza. No es nada del otro mundo.