Token de session
Qu'est-ce que Token de session ?
Token de sessionIdentifiant opaque emis apres l'authentification, renvoye par le client a chaque requete, permettant au serveur de retrouver l'etat de session de l'utilisateur.
Un token de session est la credential qui maintient un utilisateur connecte entre les requetes HTTP. Le plus souvent il s'agit d'une chaine aleatoire cryptographique stockee cote serveur (base, cache ou cookie signe) et envoyee au navigateur dans un cookie marque Secure, HttpOnly et SameSite. Le serveur l'utilise comme cle dans le stockage de session contenant l'ID utilisateur, ses roles et meta-donnees. Un bon token a une forte entropie, est regenere au login et au changement de privileges, dispose d'un timeout d'inactivite et absolu, et est invalide cote serveur au logout. Attaques classiques: fixation, hijacking, ID previsibles, deconnexion oubliee.
● Exemples
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Regenerer l'ID de session juste apres un login reussi pour prevenir la fixation.
● Questions fréquentes
Qu'est-ce que Token de session ?
Identifiant opaque emis apres l'authentification, renvoye par le client a chaque requete, permettant au serveur de retrouver l'etat de session de l'utilisateur. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Token de session ?
Identifiant opaque emis apres l'authentification, renvoye par le client a chaque requete, permettant au serveur de retrouver l'etat de session de l'utilisateur.
Comment fonctionne Token de session ?
Un token de session est la credential qui maintient un utilisateur connecte entre les requetes HTTP. Le plus souvent il s'agit d'une chaine aleatoire cryptographique stockee cote serveur (base, cache ou cookie signe) et envoyee au navigateur dans un cookie marque Secure, HttpOnly et SameSite. Le serveur l'utilise comme cle dans le stockage de session contenant l'ID utilisateur, ses roles et meta-donnees. Un bon token a une forte entropie, est regenere au login et au changement de privileges, dispose d'un timeout d'inactivite et absolu, et est invalide cote serveur au logout. Attaques classiques: fixation, hijacking, ID previsibles, deconnexion oubliee.
Comment se défendre contre Token de session ?
Les défenses contre Token de session combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- identity-access№ 1018
Gestion des sessions
Ensemble de contrôles qui émettent, maintiennent, rafraîchissent et révoquent une session authentifiée, liant l'identité de l'utilisateur aux requêtes suivantes jusqu'à la déconnexion ou l'expiration.
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
- appsec№ 1015
Fixation de session
Attaque où l'adversaire plante un identifiant de session connu dans le navigateur de la victime avant la connexion, identifiant qui reste valable pour lui après l'authentification.
- appsec№ 983
Drapeau de cookie Secure
Attribut de cookie qui indique au navigateur de ne l'envoyer qu'en HTTPS, empêchant son passage en clair sur le réseau.
- appsec№ 500
Drapeau de cookie HttpOnly
Attribut qui interdit l'accès au cookie via « document.cookie », limitant le vol de session en cas d'exploitation d'un XSS.
- appsec№ 961
Cookie SameSite
Attribut de cookie qui contrôle son envoi sur les requêtes inter-sites, avec les valeurs Strict, Lax et None, utilisé principalement pour mitiger le CSRF.
● Voir aussi
- № 256Token CSRF