Sessionhandling ist in Indy bereits eingebaut.

Der Indy HTTP Server Request enthält eine Session Property. Wenn die SessionID in Request.Session.SessionID nicht gesetzt ist, kann man den Request über ein Redirect auf die Login-Seite lenken. Werte kann man aus der Session mit Request.Session.Content.Values['key']; lesen.

p.s. SessionState muss auf True gesetzt werden, damit der HTTP Server Sessions verwaltet.