istunnonhallinta - Infinite Lexicon - Infinite Lexicon

istunnonhallinta

Istunnonhallinta on verkkopalveluiden mekanismi, jolla käyttäjän tilan ja todennetut tiedot säilytetään useiden HTTP-pyyntöjen aikana. Sen tarkoituksena on mahdollistaa kirjautuminen, valtuuttaminen ja henkilökohtaisten asetusten pysyminen voimassa, kunnes istunto päättyy. Istunnot voivat sisältää sekä käyttäjän identiteetin että oikeudet, asetukset ja tilatietoja.

Toteutustapoja on useita. Yleisimmässä mallissa palvelin pitää istunnon tilan ja antaa käyttäjälle istunnon tunnuksen (sessio-ID), joka

Turvallisuus ja käytännön näkökohdat: istunnot voivat altistua istunnonvarkauksille tai väärinkäytölle. Suosituksia ovat lyhyet istunnon aikakatkaisut, säännöllinen

Elinkaari: istunto luodaan kirjautumisen yhteydessä, ja aktiivisuus pitää sen elossa. Inaktiivisuuden jälkeen istunto vanhenee automaattisesti tai

Haasteet ja ratkaisut: hajautetussa, monen palvelimen ympäristössä tarvitaan keskitetty istunnonvarasto (esim. Redis) tai hajautettua tilanhallintaa. Stateless-ratkaisut

SameSite-käytännön

CSRF-hyökkäyksille.

stateless-malli,

istunnonhallinta

haasteellisemmiksi.

SameSite-rajoitukset

vähentämään

uloskirjautumisesta

muistutustoiminnot

skaalautuvuutta,

invalidaatioratkaisut.

dokumentaatiot,

pääsynvalvonnan.