Session-Verwaltung befasst sich damit, Benutzer über Anfragen hinweg angemeldet zu halten — und dies sicher zu tun ist wichtig, da Session-Schwachstellen (Hijacking, Fixation) Angreifern ermöglichen, Benutzer zu imitieren. Sichere Sessions beinhalten ordnungsgemäße Token-Behandlung, Cookie-Sicherheit und Lifecycle-Verwaltung.
Wie Sessions funktionieren
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
