Сессионный токен
Что такое Сессионный токен?
Сессионный токенНепрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя.
Сессионный токен — учётка, поддерживающая вход пользователя между HTTP-запросами. Чаще всего это криптографически случайная строка, хранящаяся на сервере (БД, кэш или подписанная кука) и отдаваемая браузеру в cookie с Secure, HttpOnly и SameSite. Сервер использует её как ключ к хранилищу сессии с ID пользователя, ролями и метаданными. Хороший токен обладает высокой энтропией, пересоздаётся при входе и смене привилегий, имеет idle- и абсолютный таймауты и инвалидируется на сервере при logout. Типовые атаки: session fixation, hijacking, предсказуемые ID, отсутствие выхода.
● Примеры
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Регенерация ID сессии сразу после успешного входа для защиты от session fixation.
● Частые вопросы
Что такое Сессионный токен?
Непрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Сессионный токен?
Непрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя.
Как работает Сессионный токен?
Сессионный токен — учётка, поддерживающая вход пользователя между HTTP-запросами. Чаще всего это криптографически случайная строка, хранящаяся на сервере (БД, кэш или подписанная кука) и отдаваемая браузеру в cookie с Secure, HttpOnly и SameSite. Сервер использует её как ключ к хранилищу сессии с ID пользователя, ролями и метаданными. Хороший токен обладает высокой энтропией, пересоздаётся при входе и смене привилегий, имеет idle- и абсолютный таймауты и инвалидируется на сервере при logout. Типовые атаки: session fixation, hijacking, предсказуемые ID, отсутствие выхода.
Как защититься от Сессионный токен?
Защита от Сессионный токен обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- identity-access№ 1018
Управление сессиями
Набор средств, которые выдают, поддерживают, обновляют и отзывают аутентифицированную сессию, связывая личность пользователя с последующими запросами до выхода или истечения срока.
- attacks№ 1016
Перехват сессии
Атака, при которой злоумышленник захватывает уже аутентифицированную сессию жертвы, похищая или подделывая её идентификатор и действуя как пользователь без его учётных данных.
- appsec№ 1015
Фиксация сессии
Атака, при которой злоумышленник подсаживает известный идентификатор сессии в браузер жертвы до входа, так что после аутентификации он остаётся действительным для него.
- appsec№ 983
Флаг куки Secure
Атрибут куки, требующий, чтобы браузер отправлял её только по HTTPS, исключая передачу в открытом виде по сети.
- appsec№ 500
Флаг куки HttpOnly
Атрибут куки, скрывающий её от JavaScript за счёт запрета доступа через 'document.cookie' и снижающий риск кражи сессии при эксплуатации XSS.
- appsec№ 961
Кука SameSite
Атрибут куки, определяющий, отправляет ли браузер её при межсайтовых запросах; значения Strict, Lax, None; используется в основном для смягчения CSRF.
● См. также
- № 256CSRF-токен