Was Du brauchst ist zunächst eine bestehende Session mit Session-ID (SID). Diese wird zwischen Server und UserAgent (UA) ausgehandelt und hat mit dem Login ersteinmal nichts zu tun. Das Aushandeln der SID geht im einfachsten Fall über einen Cookie, hier die Schritte:

- serverseitig wird geprüft, ob der UA die SID im Cookie schickt, wenn ja, wird diese genommen, sofern sie den Anforderungen genügt; eine Anforderung wäre z.b. 32 ASCII-Zeichen \w
- schickt der UA keine SID, wird eine eindeutige SID erzeugt, z.B. mit Digest::MD5. Den Fall merken für später.
- wenn serverseitig der Response-Header erzeugt wird, wird der Cookie mit der SID in einem der Header gesendet, dies kann entfallen, wenn es schon eine SID gibt (Merker von weiter oben).

Damit ist die Voraussetzung für den Login gegeben: eine Synchrone SID, die für eine Browsersitzung gültig ist.

Login: Die SID wird dem angemeldeten User zugeordnet und in einer Login-Tabelle gespeichert mit der SID als Key.

Das ist Alles.

Deine Frage: Keine Browser-Anwendung? Wenn ein Cookie im Spiel ist, brauchst Du einen UA, den kannst Du auch mit Perl nachbilden, da gibts Module.