Sessionsbasierte

Sessionsbasierte Authentifizierung bezeichnet ein Verfahren zur Identifizierung und Autorisierung von Benutzern in Webanwendungen, bei dem der Server für jeden angemeldeten Benutzer einen serverseitigen Sitzungszustand pflegt. Der Client erhält typischerweise einen Sitzungsidentifier in einem Cookie. Bei jeder weiteren Anfrage sendet der Client dieses Cookie; der Server verknüpft den Identifier mit dem entsprechenden Sitzungszustand, der Benutzerdaten, Berechtigungen und Anwendungszustände enthält. Nach dem Login erzeugt der Server eine neue Sitzung, speichert die relevanten Daten in einem Sitzungsstore (oft im Arbeitsspeicher oder in einem verteilten Cache) und gibt dem Client den Sitzungsidentifikator zurück. Sitzungen haben typischerweise eine Ablaufzeit; nach Ablauf erfordert eine erneute Authentifizierung.

Vorteile von sessionbasierter Authentifizierung sind ihre einfache Implementierung in traditionellen Monolithen, eine zentrale Steuerung von Berechtigungen

Im Vergleich zu tokenbasierten Ansätzen, die oft stateless arbeiten, speichern Sitzungssysteme Zustand auf dem Server. In