La gestion de session gère le maintien des utilisateurs connectés entre les requêtes — et le faire de manière sécurisée est important, car les vulnérabilités de session (vol de session, fixation) permettent aux attaquants d'usurper l'identité des utilisateurs. Les sessions sécurisées impliquent une gestion appropriée des jetons, la sécurité des cookies et la gestion du cycle de vie.
Fonctionnement des sessions
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
