О клиент серверном взаимодействии

Нет, параметры запроса в URL - это только в методе GET.
В POST параметры передаются в теле запроса - аналогично тому, как сервер передаёт web-страницу браузеру.

Другое дело, что никто не мешает использовать GET-параметры в URL POST-запроса.

Сервер сохраняет в браузере/приложении пользователя информацию о том, что из этого браузера/приложения залогинились. Это могут быть куки, локальное хранилище, сессия. Или, например, авторизационный токен, передаваемый в каждом запросе к серверу.

В случае сессии сохраняется только идентификатор сессии, а все данные хранятся на сервере и недоступны пользователю (что обеспечивает куда более высокий уровень безопасности, чем информация об авторизации в куках или в локальном хранилище).

имхо, лучше один раз увидеть.
во всех браузерах есть инструменты разработчика, а там - сниффер сетевой активности, в котором можно подглядеть, в каком виде отправляются post-запросы.

1) Сессии.
2) Нет, в теле запроса.

get, post и адрес это всего лишь текст для удобства. Если работать с сырами запросами и сокетами например на плюсах то тупо будет каскадными ифами переберать все возможные варианты. Если это более высокоуровневый фреймворк типа спринга то там руты и методы хранятся в спец файлике типа web.xml но это немного дальше ушло от простого перебора. Залогинен ли пользователь скорее всего хранится в какойто переменной или даже в базе, там будет и время когда истечет токен и когда его надо принудельно обновить. В каждом запросе далее будет туда обратно передваться этот токен.