Home

sesjonstoken

Sesjonstoken er et token som brukes til å identifisere og autorisere en brukers økt i en applikasjon. Tokenet kan være opaque (uavklart innhold for klienten) eller self-contained, som for eksempel et JSON Web Token (JWT), og utstedes vanligvis etter vellykket autentisering av en autorisasjonstjeneste. Formålet er å unngå at brukeren må logge inn ved hvert API-kall og å gi applikasjonen et pålitelig bevis på innlogget tilstand.

Hvordan det fungerer

Et sesjonstoken utstedes etter at brukeren har autentisert seg og brukes i påfølgende forespørsler for å bevise

Typer og livssyklus

Opaque tokens refererer i praksis til et nøkkelreferanse som serveren kan slå opp for å hente sesjonstilstanden,

Sikkerhet og beste praksis

Transport av sesjonstoken bør skje over HTTPS. For cookies anbefales HttpOnly og Secure-flagg, og i noen tilfeller

Se også

OAuth 2.0 hva er tokens; OpenID Connect; CSRF-beskyttelse; JWT.

identitet
og
tilgangsrettigheter.
I
én
vanlig
modell
lagres
tokenet
i
en
cookie
som
sendes
automatisk
med
forespørsler,
mens
i
andre
modeller
sendes
det
i
en
HTTP
Authorization-header
som
Bearer-token.
Sesjonstokenet
har
ofte
en
relativt
kort
levetid
og
kan
suppleres
med
et
refresh-token
for
å
få
fornyet
tilgang
uten
ny
innlogging.
mens
JWT-er
inneholder
legitimations-
og
tilgangsopplysninger
og
kan
verifiseres
kryptografisk
uten
serveroppslag.
Tokenene
har
vanligvis
en
utløpsdato
og
kan
bli
ugyldiggjort
ved
logout
eller
ved
revokasjon.
Noen
systemer
bruker
også
tokenbinding
eller
ip-
og
enhetsbaserte
begrensninger
for
å
redusere
risiko.
SameSite
for
CSRF-beskyttelse.
Oppbevaring
av
tokens
i
klienten
bør
minimere
sårbarheter
for
XSS
og
lekkasjer.
Freshness-
og
rotasjonsstrategier,
kort
levetid
og
mulighet
for
trykkrevokes
er
viktige
sikkerhetstiltak.