Home

sesjonsID

SesjonsID är en unik identifikator som brukes for å koble klientens forespørsler til en eksisterende brukersesjon i en applikasjon. Den opprettes av serveren når en sesjon starts eller når en bruker logger inn, og brukes for å hente tilhørende sesjonsdata mellom påfølgende forespørsler. Sesjonsdata lagres normalt på serversiden (in-memory, database eller distribuert cache) og refereres av sesjonsID.

Typisk brukes sesjonsID i kombinasjon med informasjonskapsler. Serveren sender en Set-Cookie-header som inneholder sesjonsID, og klienten

Sikkerhet er sentralt: lekkasje eller kapring av sesjonsID kan gi uvedkommende tilgang (sesjonshijacking). Anbefalte tiltak inkluderer

Varianter og forholdsregler: Noen systemer bruker statsløse token som erstatning for sesjonsID, for eksempel JWT, men

Livssyklus: Sesjoner har vanligvis en utløpstid og kan avsluttes ved logout eller inaktivitet. Feil som blokkerte

returnerer
den
i
Cookie-header
for
etterfølgende
forespørsler.
Innholdet
i
sesjonen
kan
omfatte
autentiseringsstatus,
brukerpreferanser,
handlekurv
og
andre
midlertidige
data
som
må
deles
mellom
forespørsler.
bruk
av
Secure
og
HttpOnly
flagg
på
cookies,
SameSite-verdi,
kryptert
overføring
via
TLS,
regenerering
av
sesjonsID
ved
innlogging
for
å
forhindre
sesjonsfixation,
kort
levetid
og
lagring
av
minst
mulig
data
på
sesjonsnivået.
disse
representerer
forskjellige
mekanismer
og
ansvar
for
sikkerhet.
URL-baserte
sesjonsID-er
eksisterer
men
anses
mindre
trygge
enn
cookies
og
brukes
sjeldent
i
moderne
applikasjoner.
cookies
eller
feil
domene
kan
forhindre
riktig
sesjonshåndtering.