Объясните пожалуйста, зачем использовать для авторизации куки, если можно сделать все через сессию. Или куки используются просто потому, что они дольше живут и не уничтожаются после закрытия браузера?
Ты немного примешиваешь огурцов к помидорам. Сессия не возможна, если ты не передал какой-то уникальный id вместе с запросом из браузера на сервер. И это логично - ведь как сервер определит, что это запросы с одного браузера? Никак.
Дак вот, при каждом запросе из одной инстанции бразера (НО, даже с разных вкладок) передавать такой id в HTTP заголовках позволяет механизм кукисов.
Технически, кукисы - это просто HTTP заголовок, содержащий список переменных, среди которых и находится , например, в переменной PHPSESSID (если ты на PHP кодишь).
Установить же новую куку можно легко - механизм ровно в обратную сторону работает: сервер в заголовках ответа передает новое значение для новой куки, по-моему Set-cookie заголовок называется, если не путаю.