Home

påloggingssesjon

Påloggingssesjon er en tidsbegrenset interaksjon mellom en bruker og en tjeneste som oppstår etter at brukeren har autentisert seg. Under en sesjon blir brukerens identitet og tilgangsrettigheter husket av systemet over flere forespørsler, slik at brukeren kan fortsette å bruke tjenesten uten å logge inn for hver forespørsel. Sesjonen avsluttes normalt når brukeren logger ut, når sesjonen utløper, eller når tjenesten tvinger utlogging av inaktive brukere.

Teknisk implementering kan skje på to måter: server-side sesjon hvor klienten har en sesjons-ID i en HttpOnly-cookie

Livssyklus: en sesjon opprettes ved vellykket autentisering, og kobler identitet og rettigheter til brukeren. Den kan

Sikkerhet: viktige tiltak inkluderer uforgjengelige sesjons-IDer, HttpOnly og Secure flaggede cookies, SameSite-restriksjoner, beskyttelse mot CSRF, og

Se også: autentisering, autorisasjon og styring av inaktive eller limete økter i applikasjoner.

som
refererer
til
tilstanden
lagret
på
serveren;
eller
tokenbasert
tilgang
hvor
klienten
holder
et
tilgangstoken
(for
eksempel
en
JWT)
som
må
valideres
ved
hver
forespørsel.
Ofte
brukes
begge
mekanismer
sammen,
der
tilgangstokenet
gir
raske
bekreftelser
og
et
fornyelsestoken
(refresh
token)
gjør
det
mulig
å
utvide
sesjonen
uten
ny
innlogging.
forlenges
ved
hjelp
av
fornyelsestoken,
og
avsluttes
ved
utlogging,
utløp
eller
administrativ
beslutning.
Mange
systemer
bruker
en
tidsbegrensning
som
oppdateres
ved
aktivitet
for
å
balansere
brukervennlighet
og
sikkerhet.
regelmessig
rotasjon
av
sesjonsdata
ved
innlogging
eller
ved
mistanke
om
kompromittering.
Det
bør
også
være
mulighet
for
å
tilbakekalle
eller
terminere
enkelte
sesjoner,
og
å
varsle
brukeren
ved
uvanlig
aktivitet.