Сессионный токен
Что такое Сессионный токен?
Сессионный токенНепрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя.
Сессионный токен — учётка, поддерживающая вход пользователя между HTTP-запросами. Чаще всего это криптографически случайная строка, хранящаяся на сервере (БД, кэш или подписанная кука) и отдаваемая браузеру в cookie с Secure, HttpOnly и SameSite. Сервер использует её как ключ к хранилищу сессии с ID пользователя, ролями и метаданными. Хороший токен обладает высокой энтропией, пересоздаётся при входе и смене привилегий, имеет idle- и абсолютный таймауты и инвалидируется на сервере при logout. Типовые атаки: session fixation, hijacking, предсказуемые ID, отсутствие выхода.
● Примеры
- 01
Set-Cookie: SESSIONID=Z6r...; Secure; HttpOnly; SameSite=Lax
- 02
Регенерация ID сессии сразу после успешного входа для защиты от session fixation.
● Частые вопросы
Что такое Сессионный токен?
Непрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Сессионный токен?
Непрозрачный идентификатор, выдаваемый после аутентификации; клиент возвращает его в каждом запросе, чтобы сервер мог найти состояние сессии пользователя.
Как защититься от Сессионный токен?
Защита от Сессионный токен обычно сочетает технические меры и операционные практики, как описано в определении выше.