Pengurusan sesi mengendalikan pengekalan pengguna log masuk merentas permintaan — dan melakukannya dengan selamat adalah penting, kerana kelemahan sesi (hijacking, fixation) membenarkan penyerang menyamar sebagai pengguna. Sesi yang selamat melibatkan pengendalian token yang betul, keselamatan cookie, dan pengurusan kitaran hayat.
Bagaimana sesi berfungsi
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
