Menaxhimi i sesioneve përballet me mbajtjen e përdoruesve të kyçur përgjatë kërkesave — dhe ta bësh këtë në mënyrë të sigurt është i rëndësishëm, pasi vulnerabilitetet e sesionit (marrja e sesionit, fiksimi i sesionit) i lejojnë sulmuesit të përfaqësojnë përdoruesit. Sesionet e sigurt përfshijnë trajtimin e duhur të tokens, sigurinë e cookie-ve dhe menaxhimin e cikleve të jetës.
Si funksionojnë sesionet
After login, the server keeps a SESSION identifying the user across requests:
→ a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
→ the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
