Token de sessao
O que é Token de sessao?
Token de sessaoIdentificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
Um token de sessao e a credencial que mantem um utilizador autenticado entre pedidos HTTP. Normalmente e uma string aleatoria criptograficamente forte guardada no servidor (base de dados, cache ou cookie assinado) e enviada ao navegador como cookie com Secure, HttpOnly e SameSite. O servidor usa-a como chave no armazenamento de sessao com ID, papeis e metadados. Bons tokens tem alta entropia, sao regenerados no login e em mudancas de privilegio, tem timeouts idle e absoluto e sao invalidados no servidor no logout. Ataques comuns: fixacao, hijacking, IDs previsiveis e falta de logout.
● Exemplos
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Regenerar o ID de sessao logo apos um login bem-sucedido para evitar fixacao.
● Perguntas frequentes
O que é Token de sessao?
Identificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Token de sessao?
Identificador opaco emitido apos autenticacao e devolvido pelo cliente em cada pedido para o servidor recuperar o estado da sessao do utilizador.
Como funciona Token de sessao?
Um token de sessao e a credencial que mantem um utilizador autenticado entre pedidos HTTP. Normalmente e uma string aleatoria criptograficamente forte guardada no servidor (base de dados, cache ou cookie assinado) e enviada ao navegador como cookie com Secure, HttpOnly e SameSite. O servidor usa-a como chave no armazenamento de sessao com ID, papeis e metadados. Bons tokens tem alta entropia, sao regenerados no login e em mudancas de privilegio, tem timeouts idle e absoluto e sao invalidados no servidor no logout. Ataques comuns: fixacao, hijacking, IDs previsiveis e falta de logout.
Como se defender contra Token de sessao?
As defesas contra Token de sessao costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- identity-access№ 1018
Gestão de sessões
Conjunto de controlos que emitem, mantêm, renovam e revogam uma sessão autenticada, ligando a identidade do utilizador aos pedidos subsequentes até ao logout ou expiração.
- attacks№ 1016
Sequestro de sessão
Ataque que assume a sessão autenticada de uma vítima ao roubar ou forjar o seu identificador de sessão, permitindo ao atacante agir como o utilizador sem as credenciais.
- appsec№ 1015
Fixação de sessão
Ataque em que o adversário implanta um identificador de sessão conhecido no navegador da vítima antes do login, para que continue válido para ele após a autenticação.
- appsec№ 983
Flag de cookie Secure
Atributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede.
- appsec№ 500
Flag de cookie HttpOnly
Atributo de cookie que o esconde do JavaScript ao proibir o acesso via 'document.cookie', limitando o roubo de sessão quando há XSS.
- appsec№ 961
Cookie SameSite
Atributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF.
● Veja também
- № 256Token CSRF