Gestão de sessões
O que é Gestão de sessões?
Gestão de sessõesConjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
Após a autenticação, o servidor emite uma sessão — normalmente representada por um identificador do lado do servidor armazenado num cookie, ou por um token assinado como um JWT — que o cliente devolve em cada pedido. Uma boa gestão de sessões gera identificadores de alta entropia, transmite-os apenas por TLS, define as flags Secure, HttpOnly e SameSite nos cookies, roda o identificador após o início de sessão, aplica timeouts de inatividade e absolutos e oferece revogação fiável no servidor no logout, mudança de palavra-passe ou remoção de dispositivos. As fragilidades conduzem diretamente a sequestro de sessão, fixação de sessão, replay e autenticação quebrada. As aplicações modernas combinam frequentemente tokens de acesso de curta duração com rotação de tokens de atualização, avaliação contínua de risco (CAEP) e ligação dos tokens ao dispositivo (DPoP, mTLS).
● Exemplos
- 01
Uma aplicação OIDC a usar tokens de acesso de curta duração com uma estratégia de rotação de tokens de atualização.
- 02
Um site bancário a rodar o cookie de sessão imediatamente após o início de sessão para prevenir a fixação de sessão.
● Perguntas frequentes
O que é Gestão de sessões?
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Gestão de sessões?
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
Como se defender contra Gestão de sessões?
As defesas contra Gestão de sessões costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Gestão de sessões?
Nomes alternativos comuns: Gestão de sessão, Gestão de sessões web.