Διαχείριση συνεδριών σημαίνει να κρατάτε τους χρήστες συνδεδεμένους σε όλα τα αιτήματα — και να το κάνετε με ασφάλεια είναι σημαντικό, επειδή οι ευπάθειες συνεδριών (hijacking, fixation) επιτρέπουν στους επιτιθέμενους να προσποιούνται χρήστες. Οι ασφαλείς συνεδρίες περιλαμβάνουν σωστό χειρισμό token, ασφάλεια cookies και διαχείριση κύκλου ζωής.
Πώς λειτουργούν οι συνεδρίες
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
