Token de sessao
O que é Token de sessao?
Token de sessaoIdentificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
Um token de sessao e a credencial que mantem um utilizador autenticado entre pedidos HTTP. Normalmente e uma string aleatoria criptograficamente forte guardada no servidor (base de dados, cache ou cookie assinado) e enviada ao navegador como cookie com Secure, HttpOnly e SameSite. O servidor usa-a como chave no armazenamento de sessao com ID, papeis e metadados. Bons tokens tem alta entropia, sao regenerados no login e em mudancas de privilegio, tem timeouts idle e absoluto e sao invalidados no servidor no logout. Ataques comuns: fixacao, hijacking, IDs previsiveis e falta de logout.
● Exemplos
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Regenerar o ID de sessao logo apos um login bem-sucedido para evitar fixacao.
● Perguntas frequentes
O que é Token de sessao?
Identificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Token de sessao?
Identificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
Como se defender contra Token de sessao?
As defesas contra Token de sessao costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.