Al crear una aplicación web, y digamos que tiene un objeto Usuario que denota un solo usuario, ¿cuál cree que es la mejor manera de almacenar que el usuario ha iniciado sesión?

Dos maneras en las que he pensado han sido:

Almacena el ID de la base de datos del usuario en una variable de sesiónAlmacena el objeto de usuario completo en una variable de sesión

¿Alguna sugerencia mejor, algún problema con el uso de las formas anteriores? Quizás problemas de seguridad o problemas de memoria, etc., etc.