Seria baseado em um endereço MAC. Baseando-se em um cookie não iria funcionar, como o cookie não seria apresentado ao ponto de acesso (etc.), mas com base no nome DNS do domínio que eles estão vendo no momento. Também impediria que coisas como email (não webmail) funcionassem.
A parte difícil é como apresentar efetivamente a parte de autorização do portal e quais limitações existem em uma tela de login (podem ser sem cookies, sem javascript ....) e como manter a sessão. A filtragem do tráfego com base no endereço MAC é a norma, mas um cookie também pode estar presente na página de entrada, e isso pode apresentar problemas, porque a maneira muito variada pela qual a detecção do portal cativo é feita / suportada nos vários dispositivos .
Esta página parece muito informativa: link e o link
Então, responda à sua pergunta; algumas partes são razoavelmente consistentes, mas a experiência do usuário (e como conduzir essa experiência) está madura para alguma padronização de comportamento (que é o que o WISPr está fazendo, que é um esboço de protocolo divulgado pela WiFi Alliance: link )