Gestión de sesiones.

Tras la autenticación, el servidor emite una sesión —representada normalmente por un identificador del lado del servidor en una cookie, o por un token firmado como un JWT— que el cliente devuelve en cada petición. Una buena gestión de sesiones genera identificadores de alta entropía, los transmite solo por TLS, establece los flags Secure, HttpOnly y SameSite en las cookies, rota el identificador tras el inicio de sesión, aplica timeouts por inactividad y absolutos, y ofrece revocación fiable en servidor al cerrar sesión, cambiar contraseña o retirar un dispositivo. Las debilidades conducen directamente al secuestro de sesión, la fijación de sesión, los ataques de repetición y la autenticación rota. Las aplicaciones modernas combinan tokens de acceso de corta duración con tokens de refresco, evaluación continua del riesgo (CAEP) y vinculación de tokens al dispositivo (DPoP, mTLS).