Как работает безопасная аутентификация в веб-приложении

Я понимаю, как работает ssl, поэтому браузер отправляет имя пользователя / пароль в зашифрованном виде. Но что будет дальше?

Получает ли клиент куки? Это безопасно? Каким образом сервер-браузер взаимодействует безопасно, если единственной страницей https является страница входа?

Я думаю, что если кто-то получит копию этого файла cookie при его отправке, он сможет получить доступ к этой учетной записи, независимо от того, насколько зашифрован файл cookie

На самом деле я хочу понять процесс от входа до выхода в безопасном веб-приложении.

Сервер: Tomcat, Apache ... Платформа: java, php, ...

Спасибо