Session management (gestión de sesiones) maneja mantener a los usuarios conectados en todas las solicitudes — y hacerlo de forma segura es importante, ya que las vulnerabilidades de sesión (secuestro, fijación) permiten a los atacantes suplantar a los usuarios. Las sesiones seguras implican el manejo adecuado de tokens, seguridad de cookies y gestión del ciclo de vida.
Cómo funcionan las sesiones
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
