クライアントに対するセッションを識別するため、セッションの作成時に一意のセッション・キーが各セッションに割り当てられます。このセッション・キーはブラウザーに送り返されます。

ブラウザーは、ある要求が特定のセッションに属していることを示すために、各要求ごとにセッション・キーをサーバーに渡さなければなりません。このセッション・キーの受け渡しは、アプリケーションの残りの部分に透過的に行われます。

WAMでは、ブラウザーでセッション・キーを管理するための3つの方法をサポートしています。

1. 各ページに返される非表示フィールドに格納する方法
   
   
2. URLに渡す方法
   
   
3. ブラウザーのメモリーに保持されるCookieに格納する方法。この場合は、標準CookieとセキュアCookieのどちらを使用するかを選択できます。セキュアCookieを選択した場合は、SSL (HTTPS)接続でのみセッション・キーの受け渡しが可能になるので、セッション・キーの漏洩の危険を回避できます。言い換えれば、セキュアCookieのメカニズムを使用するアプリケーションは、HTTPSプロトコルでブラウザーに接続する必要があります。

この中で最も安全なのは、3つ目のセキュアCookieを使用する方法で、視覚的な盗用もプログラミングの盗用も非常に困難になります。