Gerenciamento de sessões lida com manter usuários autenticados em requisições — e fazer isso de forma segura é importante, já que vulnerabilidades de sessão (sequestro, fixação) permitem que atacantes se passem por usuários. Sessões seguras envolvem manipulação adequada de tokens, segurança de cookies e gerenciamento de ciclo de vida.
Como as sessões funcionam
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
