Gestão de sessões.

Após a autenticação, o servidor emite uma sessão — normalmente representada por um identificador do lado do servidor armazenado num cookie, ou por um token assinado como um JWT — que o cliente devolve em cada pedido. Uma boa gestão de sessões gera identificadores de alta entropia, transmite-os apenas por TLS, define as flags Secure, HttpOnly e SameSite nos cookies, roda o identificador após o início de sessão, aplica timeouts de inatividade e absolutos e oferece revogação fiável no servidor no logout, mudança de palavra-passe ou remoção de dispositivos. As fragilidades conduzem diretamente a sequestro de sessão, fixação de sessão, replay e autenticação quebrada. As aplicações modernas combinam frequentemente tokens de acesso de curta duração com rotação de tokens de atualização, avaliação contínua de risco (CAEP) e ligação dos tokens ao dispositivo (DPoP, mTLS).