Sitzungstoken

Ein Sitzungstoken ist ein kryptografisch generiertes Token, das verwendet wird, um eine Benutzersitzung in Webanwendungen zu identifizieren und den Zugriff auf geschützte Ressourcen zu autorisieren. Es wird nach erfolgreicher Authentifizierung ausgestellt und ermöglicht es dem Server, den Zustand der Sitzung über mehrere Anfragen hinweg aufrechtzuerhalten, ohne dass der Benutzer sich erneut anmelden muss.

In der Praxis wird ein Sitzungstoken häufig als Cookie an den Client gesendet. Der Client sendet es

Sicherheit und Speicherung: Für Cookies wird empfohlen, HttpOnly- und Secure-Flags zu setzen sowie SameSite-Attribute zu verwenden,

Lebenszyklus und Verwaltung: Der Token wird beim Login erstellt; er kann bei Bedarf rotiert werden, z. B.