Управление сеансами отвечает за поддержание входа пользователей во время запросов — и делать это безопасно важно, так как уязвимости сеансов (перехват, фиксация) позволяют злоумышленникам выдавать себя за пользователей. Безопасные сеансы включают правильную работу с токенами, безопасность cookies и управление жизненным циклом.
Как работают сеансы
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
