Как сохранять вошедшего игрока?

Но далее, если я перейду, например, на страницу, доступную лишь вошедшему игроку что произойдет? Ведь надо что-то еще отправлять, верно?

Визуальных ссылок (ссылающихся на страницы, к которым нет доступа) по идее быть вообще не должно. Если ссылаться напрямую - то должна возвращаться страница со статус кодами 403 Forbidden или 401 Unauthorized. Лично я бы вернул неавторизированному пользователю 401, а авторизированному, но не имеющего соответствующего уровня доступа 403 ошибки.

Случайно не куки? Тогда где их взять?

Именно они. Почитать на википедии что это.

Задаваться они могут как на сервере, так и на клиенте. При каждом запросе они швыряются между клиентом-сервером.

Хороший инструмент для просмотра кук (либо сессионного/локального хранилища) - хромовские Dev tools (F12 кнопка)

Ползем в Application > Cookies > домен: