Token de sesion
¿Qué es Token de sesion?
Token de sesionIdentificador opaco emitido tras la autenticacion que el cliente envia en cada peticion para que el servidor recupere el estado de sesion del usuario.
Un token de sesion es la credencial que mantiene al usuario autenticado entre peticiones HTTP. Lo habitual es una cadena aleatoria criptograficamente fuerte guardada en el servidor (base de datos, cache o cookie firmada) y enviada al navegador como cookie con Secure, HttpOnly y SameSite. El servidor la usa como clave en el almacen de sesion con el ID de usuario, roles y metadatos. Un buen token tiene alta entropia, se regenera al iniciar sesion y al cambiar privilegios, tiene timeouts idle y absoluto, y se invalida en el servidor al cerrar sesion. Ataques comunes: fijacion, secuestro, identificadores predecibles y falta de logout.
● Ejemplos
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Regenerar el ID de sesion justo despues de un inicio de sesion para evitar la fijacion.
● Preguntas frecuentes
¿Qué es Token de sesion?
Identificador opaco emitido tras la autenticacion que el cliente envia en cada peticion para que el servidor recupere el estado de sesion del usuario. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Token de sesion?
Identificador opaco emitido tras la autenticacion que el cliente envia en cada peticion para que el servidor recupere el estado de sesion del usuario.
¿Cómo funciona Token de sesion?
Un token de sesion es la credencial que mantiene al usuario autenticado entre peticiones HTTP. Lo habitual es una cadena aleatoria criptograficamente fuerte guardada en el servidor (base de datos, cache o cookie firmada) y enviada al navegador como cookie con Secure, HttpOnly y SameSite. El servidor la usa como clave en el almacen de sesion con el ID de usuario, roles y metadatos. Un buen token tiene alta entropia, se regenera al iniciar sesion y al cambiar privilegios, tiene timeouts idle y absoluto, y se invalida en el servidor al cerrar sesion. Ataques comunes: fijacion, secuestro, identificadores predecibles y falta de logout.
¿Cómo defenderse de Token de sesion?
Las defensas contra Token de sesion combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 1018
Gestión de sesiones
Conjunto de controles que emiten, mantienen, renuevan y revocan una sesión autenticada, vinculando la identidad del usuario a las peticiones posteriores hasta el cierre o la caducidad.
- attacks№ 1016
Secuestro de sesión
Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.
- appsec№ 1015
Fijación de sesión
Ataque en el que el adversario implanta un identificador de sesión conocido en el navegador de la víctima antes del inicio de sesión, para que siga siendo válido para él tras autenticarse.
- appsec№ 983
Flag de cookie Secure
Atributo de cookie que indica al navegador enviarla únicamente por HTTPS, evitando que viaje en claro por la red.
- appsec№ 500
Flag de cookie HttpOnly
Atributo de cookie que la oculta a JavaScript prohibiendo el acceso desde «document.cookie», limitando el robo de sesión cuando se explota XSS.
- appsec№ 961
Cookie SameSite
Atributo de cookie que controla si el navegador la envía en solicitudes entre sitios, con valores Strict, Lax y None, usado sobre todo para mitigar CSRF.
● Véase también
- № 256Token CSRF