会话管理

Q: 会话管理 是什么?

用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 会话管理?

针对 会话管理 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

会话管理是什么?

会话管理用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。

在认证之后,服务器会签发一个会话——通常表现为存储在 Cookie 中的服务器端标识,或以签名令牌(如 JWT)的形式存在——客户端在每次请求中将其返回。良好的会话管理会生成高熵标识、仅通过 TLS 传输、为 Cookie 设置 Secure、HttpOnly 和 SameSite 标记、在登录后轮换标识、强制空闲与绝对超时,并在注销、修改密码或解绑设备时在服务器端可靠地吊销会话。会话管理缺陷会直接导致会话劫持、会话固定、重放以及认证被破坏。现代应用通常结合短时有效的访问令牌、刷新令牌轮换、持续风险评估(CAEP),以及将令牌绑定到设备的技术(DPoP、mTLS)。

● 示例

01
一个使用短时有效访问令牌并采用刷新令牌轮换策略的 OIDC 应用。
02
银行网站在登录后立即轮换会话 Cookie,以防止会话固定。

● 常见问题

会话管理是什么?

用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。它属于网络安全的身份与访问分类。

会话管理是什么意思?

用于颁发、维护、刷新和吊销已认证会话的一组控制措施,将用户身份与后续请求绑定,直至注销或过期。

如何防御会话管理?

针对会话管理的防御通常结合技术控制与运营实践,详见上方完整定义。

会话管理还有哪些其他名称?

常见的别称包括: 会话处理, Web 会话管理。

会话管理

会话管理是什么?

● 示例

● 常见问题

● 相关术语

● 另见

会话管理 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

会话管理是什么?