Pues sí: pides el nombre de usuario, una clave, lo cotejas con una base de datos y si son correctos creas una huella (cookie) para indicar que puede entrar.
Por cierto, te recomiendo que te leas
este capítulo sobre seguridad. Es para PHP pero la mayor parte de lo que explica puede (y debe) aplicarse a cualquier aplicación
web.