Управление сессиями.

После аутентификации сервер выпускает сессию — обычно она представлена серверным идентификатором в cookie или подписанным токеном, например JWT, — который клиент возвращает с каждым запросом. Хорошее управление сессиями генерирует идентификаторы с высокой энтропией, передаёт их только по TLS, устанавливает у cookie флаги Secure, HttpOnly и SameSite, ротирует идентификатор после входа, применяет таймауты простоя и абсолютные таймауты и обеспечивает надёжный серверный отзыв сессии при выходе, смене пароля или удалении устройства. Недостатки напрямую приводят к перехвату сессии, фиксации сессии, replay-атакам и нарушенной аутентификации. Современные приложения часто сочетают короткоживущие access-токены с ротацией refresh-токенов, непрерывной оценкой риска (CAEP) и привязкой токенов к устройству (DPoP, mTLS).