Home

Benutzersitzung

Eine Benutzersitzung bezeichnet in der Informationstechnik einen zeitlich begrenzten Zeitraum, in dem ein Benutzer mit einem System interagiert. Nach der erfolgreichen Authentifizierung wird der Benutzer durch eine Sitzungskennung identifiziert, die über mehrere Anfragen hinweg beibehalten wird. Sitzungen ermöglichen personalisierte Funktionen, Zugriffskontrollen und Kontextinformationen, ohne dass der Benutzer ständig erneut Anmeldedaten vorlegen muss.

Technisch wird eine Sitzung typischerweise durch eine Sitzungs-ID gesteuert, die auf der Client- oder Serverseite verwaltet

Der Lebenszyklus umfasst Anmeldung, aktive Nutzung, Inaktivitäts-Timeout und Abmeldung bzw. Ablauf. Nach der Inaktivität wird die

Sitzungssicherheit umfasst Vermeidung von Hijacking und Fixation, Einsatz von TLS, regelmäßiges Umlagern der ID, kurze Lebensdauer,

In Webanwendungen sind Sitzungen gängig, da HTTP stateless ist. Serverseitige Sitzungen ermöglichen eine persistente Benutzerauthentifizierung über

wird.
Häufig
erfolgt
dies
über
Cookies,
in
einigen
Fällen
über
Token
oder
URL-Parameter.
Der
Server
speichert
dem
Client
zugeordnete
Daten
wie
Benutzer-ID,
Berechtigungen
oder
Anwendungszustand
in
einem
Sitzungs-Store
(In-Memory,
Datenbank,
verteilte
Caches).
Sitzung
beendet,
um
Ressourcen
zu
schonen;
schließlich
wird
sie
beim
Abmelden
oder
durch
automatische
Ablaufregel
gelöscht.
Wichtige
Sicherheitsaspekte
sind
die
Neugenerierung
der
Sitzungs-ID
nach
der
Authentifizierung,
um
Session
Fixation
zu
verhindern.
serverseitige
Überprüfung
und
sichere
Abmeldung.
Cookies
sollten
Secure-,
HttpOnly-
und
SameSite-Attribute
verwenden,
um
Missbrauch
zu
reduzieren.
Seitenaufrufe
hinweg.
Mobile
Apps
verwenden
oft
tokenbasierte,
stateless-Ansätze
wie
OAuth
oder
JWT,
während
Desktop-Anwendungen
ähnliche
Muster
zur
Kontexthaltung
nutzen.
Benutzersitzungen
beschreiben
so
den
zeitlich
begrenzten,
authentifizierten
Kontext
einer
Benutzerinteraktion
mit
einem
System,
der
über
eine
Sitzungskennung
und
einen
Sitzungs-Store
verwaltet
wird.