Gestion des sessions.

Après l'authentification, le serveur émet une session — typiquement représentée par un identifiant côté serveur stocké dans un cookie, ou par un jeton signé comme un JWT — que le client renvoie à chaque requête. Une bonne gestion des sessions génère des identifiants à forte entropie, ne les transmet que via TLS, positionne les attributs Secure, HttpOnly et SameSite sur les cookies, change l'identifiant après la connexion, applique des timeouts d'inactivité et absolus, et offre une révocation fiable côté serveur lors de la déconnexion, du changement de mot de passe ou du retrait d'un appareil. Les faiblesses conduisent directement au détournement de session, à la fixation de session, au rejeu et à l'authentification cassée. Les applications modernes combinent souvent des jetons d'accès à courte durée de vie, une rotation des jetons de rafraîchissement, une évaluation continue du risque (CAEP) et la liaison des jetons à l'appareil (DPoP, mTLS).