WebサーバとWebアプリケーション。セッションＩＤ、ユーザーＩＤ、パスワードを管理するのはどっち？

セッションＩＤを習ったとき、
私の記憶ではセッションＩＤを管理するのはWebサーバと習いました。

普通、このOKWaveのようにログインを要するようなWebページは
ログイン時に渡されたユーザーＩＤとパスワードを
セッションＩＤに紐付ける形でサーバ側で管理することによって、
このセッションＩＤを通して、同一ユーザーと見なすということだったと思います。

しかし、ここでひとつ疑問が出ました。
ログイン時に、「自分は誰か、正しいユーザーか」ということを通信先に教えるために
ユーザーＩＤとパスワードを入れますよね？
でもここでユーザーＩＤとパスワードがほしいのはWebサーバではなく、
ユーザー情報を持っているWebアプリケーションではないのか？と考えました。
しかし、私はセッションＩＤはWebサーバが管理すると習ったように記憶しています。
ということは、

・セッションＩＤはWebサーバが管理する
・ユーザーＩＤとパスワードはWebアプリケーションが管理する

ということでいいのでしょうか？

つまり、セッションＩＤとユーザーＩＤの対応表はWebアプリケーション側で実装し、
クライアントのリクエストから呼び出されるWebアプリケーションのプログラムは
「この呼び出した相手のセッションＩＤを教えてください」と
Webサーバに聞くようなプログラムにしなければならないという認識で合っているのでしょうか？

よく分かってないので、聞きたいことが非常に伝わりにくいかと思いますが、
よろしくお願いします。
長い上、お粗末な文章を最後まで読んでいただきありがとうございました

teltel 回答No.1

基本的にはWebサーバはデータの受け渡ししかできません。
cookieなどでのセッション管理はWebアプリケーション側で実行されます。
WebアプリケーションとWebクライアント（ブラウザ）がHTTPでやりとりするためにWebサーバを介して通信しているような感じです。

お礼 2007/11/11 21:18

回答ありがとうございます。

>>cookieなどでのセッション管理はWebアプリケーション側で実行されます。

なるほど、そうなのですか。
私が質問文で書いた内容は間違っているんですね。

セッションＩＤについて、いろいろな書籍やWebページを見て回っても
大抵は「Webサーバ」としか書かれていないので、
ApacheといったWebサーバソフトがセッション管理を担当するのか？と、疑問になっていました。

ありがとうございました。