সেশন ম্যানেজমেন্ট ব্যবহারকারীদের অনুরোধ জুড়ে লগ ইন রাখা পরিচালনা করে — এবং এটি নিরাপদে করা গুরুত্বপূর্ণ, কারণ সেশন দুর্বলতা (হাইজ্যাকিং, ফিক্সেশন) আক্রমণকারীদের ব্যবহারকারীদের অনুকরণ করতে দেয়। নিরাপদ সেশনগুলি উপযুক্ত টোকেন হ্যান্ডলিং, কুকি সুরক্ষা এবং জীবনচক্র ব্যবস্থাপনা জড়িত।
সেশনগুলি কীভাবে কাজ করে
text
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
সেশনগুলি সুরক্ষিত করা
text
✓ SECURE COOKIE flags for session cookies:
→ HttpOnly → JavaScript can't read it (protects against theft via XSS)
→ Secure → sent only over HTTPS (not plaintext)
→ SameSite → not sent on cross-site requests (mitigates CSRF)
✓ Strong, RANDOM, unpredictable session IDs (can't be guessed)
✓ Store session data server-side (or sign/encrypt tokens); transmit over HTTPS only