ID自体に別の情報として"権限"を持たせているためです。
Aさん、Bさん、CさんそれぞれがA=1,B=2,C=3という数字を持っている場合に、
2以上の人しか見れない用に分岐文を用いて、B、Cさんは閲覧許可、Aさんは閲覧禁止とするプログラムを書くと実現できます。

この分岐の仕方はプログラムによりさまざまですので概念としてご理解ください。

JavaWebアプリケーションでのアクセス制御については、標準で以下の機能が提供されています。

• ログインしているか否かを判定
• ログインしているユーザIDを取得
• ログインしているユーザの役割（ロールと呼びます）が何であるか。例えば管理者、データ登録者、一般ユーザなど、ログインしているユーザが何のロールを持っているか

これらの情報を使い、特定のURLに対してはロールを持っているユーザでないとアクセス拒否する機能があります。

詳しくは 「web.xml security-constraint」で調べると、理解が深まるかと思います。
参考になれば幸いです。

共通キーと個別キーを渡して持ち回り。

ブラウザ、サーバー、通信と種類が有ります。

セッション管理が一般的です。

WEB アプリの話でしょうか。
だとすると、普通は、サーバ側のセッションと、クライアント側（ブラウザとか）の cookie で実現することが多いと思います。
cookie とは、サーバ側から「これ保存しといて」と渡される小さいデータです。クライアント側では、「このサーバにアクセスするときはさっきもらったこれを渡そう」と、そのサーバに通信するたびに送ります。
セッションは、何回か接続してくるクライアントごとに用意しておくデータの保存場所です。

これを使うと、ログインに成功すると、受付番号を発行し、そのクライアント向けのセッションを作り、そこにログインしたユーザの ID なんかを保存します。受付番号は、まあ、セッションを特定するセッション ID ということにしておきます。で、lazyeyed さんが書かれているように、ユーザ ID から、この人に出すべき情報はこれとこれ、という風にコンテンツを組み立てクライアントに返します。そのときに「このセッション ID も保存しておいてよ」と cookie も渡します。ブラウザ側では戻ってきたコンテンツを表示しつつ、もらってきた cookie を保存しておきます。で、再び同じサーバにアクセスするとき（ページ遷移や ajax 通信など）に、さっきもらったセッション ID を cookie として渡します。サーバ側ではセッション ID をもとにセッションを探し、「あ、このユーザ ID の人か」とその人にあったコンテンツを返します。

てなことが知りたかったということでしょうか。