Да, область сеанса для пользователя настраивается по первому запросу.Однако это зависит от ваших предпочтений относительно того, когда вы хотите установить различные флаги и значения.Вы, вероятно, не хотите помещать пароль в область действия сеанса.
Что мне нравится делать, так это помещать определенные пользователем значения в структуру пользователя.Поэтому при запуске запроса я проверил бы переменную и установил бы, если она не существует.Например ...
<cfif not structkeyexists(session, "user")>
<cfset session.user = {
authorized = false
, admin = false
, username = ''
, accountid = ''
<!--- etc --->
} />
</cfif>
Когда пользователь входит в систему, вы можете заполнить соответствующие значения и установить session.user.authorized = true
Когда пользователь выходит из системы.При таком подходе вы можете просто удалить структуру пользователей.
<cfset structdelete(session, "user") />
Затем на следующей странице будет снова произведена проверка для структуры пользователя и создана, если она не существует.