问一个关于安全方面的问题

有一个jsp做的系统，我直接输入系统里的网页的地址不能访问，会把我转到一个登录页面，但先访问一个asp页面就会自动把我转到那个系统中，而且每个页面都可以访问了。注意：这时我再开一个IE窗口输入那个系统里的网页地址，又会把我转到登录页面，而原来通过asp转过去的那个IE窗口里就可以任意访问，在地址栏里的直接输url也没问题，但其他IE窗口就不行，希望大家探讨一下这是怎么回事呢？

先说说我的思路：
我猜是不是通过jsp的session来实现的呢？通过asp进行登录操作，再通过jsp的session功能搞一个当前窗口有效的会话来监视，大家觉得呢？