Próbowałeś tego scenariusza:
1) Wyświetlasz dowolną stronę (np. stronę logowania, ale może być jakakolwiek inna) - w odpowiedzi w nagłówku otrzymasz zapewne Set-Cookie, z ciastkiem identyfikującym twoją sesję.
2) Wysyłasz POSTem dane logowania (odsyłając jednocześnie ciacho z ID sesji), gdy się poprawnie zalogujesz, to na jakieś 60% dostaniesz nowe ID sesji (session id regeneration, używana w celu zapobiegania ataków typu session fixation) - tak więc za każdym razem musisz patrzeć czy witrynia nie podsyła ci nowego ciacha.
3) Wysyłasz końcowe zapytanie (do strony dostępnej tylko po zalogowaniu) i pobierasz interesujący cię content.