Istunnonhallinta pitää huolta siitä, että käyttäjät pysyvät kirjautuneina pyyntöjen välillä — ja sen tekeminen turvallisesti on tärkeää, koska istuntojen haavoittuvuudet (kaappaaminen, kiinnitys) antavat hyökkääjille mahdollisuuden huijata käyttäjiä. Turvalliset istunnot sisältävät oikean tokenien käsittelyn, evästeiden turvallisuuden ja elinkaaren hallinnan.
Istuntojen toiminta
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
