Home

sessieidentificaties

Een sessie-identificatie (sessie-ID) is een unieke token die een server toewijst aan een client om een gebruikerstoestand over meerdere HTTP-verzoeken te behouden. De sessie-ID maakt het mogelijk om bij elk verzoek de bijbehorende sessiegegevens op te halen die op de server zijn opgeslagen, zoals inlogstatus en voorkeursinstellingen.

Werking: bij het eerste verzoek maakt de server een nieuwe sessie aan en genereert een unieke sessie-ID.

Opslag en levensduur: sessiegegevens worden doorgaans op de server opgeslagen in een opslagmechanisme zoals geheugen, een

Beveiliging: gebruik altijd HTTPS zodat de sessie-ID niet kan worden onderschept. Cookies moeten HttpOnly, Secure en

Overwegingen en best practices: beperk welke data in de sessie wordt opgeslagen en gebruik een dedicated sessie-store.

Deze
ID
wordt
naar
de
client
gestuurd,
meestal
in
een
cookie.
Bij
elk
volgend
verzoek
stuurt
de
client
de
sessie-ID
mee;
de
server
gebruikt
deze
ID
om
de
juiste
sessiegegevens
op
te
halen.
database
of
een
gedistribueerde
cache.
De
cliënt
bevat
alleen
de
sessie-ID;
geen
volledige
gegevens
reizen
mee.
De
sessie
heeft
vaak
een
vervaldatum
of
wordt
ongeldig
bij
uitloggen.
SameSite
hebben.
Regelmatige
sessie-ID-rotatie
(bijvoorbeeld
bij
login)
helpt
sessie-fixatie
te
voorkomen.
Het
uitloggen
en
tijdig
verlopen
van
sessies
beperken
risico’s.
Genereer
onvoorspelbare
IDs
en
voorkom
dat
IDs
via
URL
worden
meegestuurd.
Houd
rekening
met
schaalbaarheid:
bij
distributed
stores
kan
session
affinity
of
tokenisatie
nodig
zijn.
Vergeleken
met
tokens
zoals
JWT
is
een
sessie-ID
meestal
een
referentietoken
dat
op
de
server
verwijst
naar
sessiegegevens,
terwijl
tokens
zelf
bindend
of
self-contained
kunnen
zijn.