Home

websessies

Websessies verwijzen naar een reeks interacties tussen een client (meestal een webbrowser) en een server binnen een bepaalde periode, waarmee toestand en context kunnen worden behouden over het stateloze HTTP-protocol. Ze maken het mogelijk dat een gebruiker ingelogd blijft, voorkeuren worden onthouden en acties over meerdere pagina’s heen kunnen worden voortgezet zonder elke keer opnieuw te moeten verifiëren.

In de praktijk wordt meestal een sessie-ID aan de client toegewezen bij het begin van de sessie.

De levenscyclus van een websessie omvat creatie (bijvoorbeeld bij inloggen of eerste bezoek), identificatie en onderhoud

Beveiliging en ontwerpkeuzes zijn cruciaal omdat een gestolen sessie-ID toegang tot een account kan bieden. Typische

Dit
ID
wordt
opgeslagen
als
cookie
of
in
verzoekkoppen
en
bij
elk
volgend
verzoek
meegestuurd.
De
server
houdt
onder
dit
ID
gegevens
bij,
zoals
authenticatiestatus,
gebruikersinstellingen
en
interacties
(bijv.
een
winkelwagen).
Sessiegegevens
kunnen
in
het
geheugen
van
de
server
blijven,
maar
vaker
worden
ze
opgeslagen
in
een
centrale
opslag
of
cache,
zodat
meerdere
serverinstanties
dezelfde
sessie
kunnen
herkennen.
tijdens
de
sessie,
en
expirement
of
invalidatie
bij
inactiviteit
of
na
logout.
Sessies
kunnen
een
sliding
expiration
gebruiken,
waarbij
een
inactiviteitstijd
wordt
verlengd
telkens
er
een
verzoek
binnenkomt.
Beheer
omvat
ook
beveiligingsmaatregelen
zoals
tijdslimieten,
sessieherafname
bij
hoog
risico-acties
en
het
beëindigen
van
sessies
bij
wachtwoordwijzigingen
of
misbruik.
mitigaties
zijn
het
gebruik
van
TLS,
HttpOnly
en
Secure
cookies,
SameSite-regels,
regelmatige
sessie-id-rotering
bij
inloggen,
en
beperkte
levensduur.
Voor
schaalbaarheid
kunnen
sessies
server-side
worden
beheerd
of
vervangen
door
token-gebaseerde
benaderingen,
soms
ondersteund
door
gedistribueerde
opslag
zoals
Redis.
Toepassingen
omvatten
authenticatie,
persoonlijke
instellingen
en
winkelwagens,
en
ondersteuning
voor
multi-device
ervaringen.