Home

sesjonsidentifikator

Sesjonsidentifikator, ofte kalt sesjons-ID, er en unik streng som brukes for å knytte en klientøkt til tilstanden på serveren. Identifikatoren gjør at serveren kan gjenkjenne neste forespørsel som tilhørende en spesifikk brukersesjon uten å sende hele brukerdata på nytt.

Når en bruker autentiserer seg, opprettes vanligvis et sesjonsobjekt i serversiden, og en sesjonsidentifikator tildeles og

Sesjonsdata kan lagres i minne på serveren, i en database eller i en distribuert cache. Alternativt kan

Sikkerhet: unngå at sesjonsidentifikator blir eksponert i URL-er; bruk sikre og HttpOnly cookies for å redusere

Risikoer inkluderer sesjonsfiksering og kapring av sesjoner (session hijacking) samt CSRF. Beskyttelse inkluderer sterkt tilfeldige identifikatorer,

Se også emner som session management, cookies og JWT som relaterer til sesjonsidentifikatorer.

sendes
til
klienten,
ofte
som
en
cookie.
Klienten
sender
deretter
identifikatoren
med
hver
etterfølgende
forespørsel
for
å
få
tilgang
til
tilstander
som
påloggingstatus,
innloggede
brukerdata
og
andre
sesjonsdata.
identifikatoren
brukes
i
statsløse
løsninger
der
identifikatoren
(for
eksempel
i
en
token)
inneholder
nødvendige
påstander
og
kan
verifiseres
uten
å
lagre
tilstand
på
serveren.
risiko
for
at
de
blir
fanget
av
klientkoden.
Bruk
TLS,
sett
SameSite-attributt,
roter
identifikatoren
ved
innlogging
og
ved
privilegieendringer,
og
ha
kort
levetid
for
tilhørende
data.
Invalidate
sesjonen
ved
logout
eller
ved
mistanke
om
kompromittering.
regelmessig
rotasjon,
og
rydde
opp
i
og
slette
ubrukte
sesjoner
på
serveren.