Идентификатор сеанса

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . Найти источники:   «Идентификатор сеанса» — новости   · газеты   · книги   · ученый   · JSTOR ( май 2019 г. ) ( Узнайте, как и когда удалить это сообщение )

В информатике , идентификатор сеанса HTTPS идентификатор сеанса или токен сеанса — это часть данных, которая используется в сетевых коммуникациях (часто через ) для идентификации сеанса , серии связанных обменов сообщениями. Идентификаторы сеанса становятся необходимыми в тех случаях, когда коммуникационная инфраструктура использует протокол без сохранения состояния, такой как HTTP. Например, покупатель, посещающий веб-сайт продавца, хочет собрать несколько товаров в виртуальной корзине покупок, а затем завершить покупку, перейдя на страницу оформления заказа на сайте. Обычно это предполагает постоянную связь, когда клиент запрашивает несколько веб-страниц и отправляет их обратно серверу. В такой ситуации крайне важно отслеживать текущее состояние корзины покупателя, и идентификатор сеанса является одним из способов достижения этой цели.

Идентификатор сеанса обычно предоставляется посетителю при первом посещении сайта. Он отличается от идентификатора пользователя тем, что сеансы обычно кратковременны (они истекают после заданного времени бездействия, которое может составлять минуты или часы) и могут стать недействительными после достижения определенной цели (например, после того, как покупатель завершили свой заказ, они не могут использовать тот же идентификатор сеанса для добавления дополнительных товаров).

Поскольку идентификаторы сеансов часто используются для идентификации пользователя, вошедшего на веб-сайт, злоумышленник может использовать их для перехвата сеанса и получения потенциальных привилегий. Идентификатор сеанса обычно представляет собой случайно сгенерированную строку, чтобы уменьшить вероятность получения действительного идентификатора с помощью грубого поиска . Многие серверы выполняют дополнительную проверку клиента на случай, если злоумышленник получил идентификатор сеанса. клиента Привязка идентификатора сеанса к IP-адресу является простой и эффективной мерой, поскольку злоумышленник не может подключиться к серверу с того же адреса, но, наоборот, может вызвать проблемы для клиента, если у клиента есть несколько маршрутов к серверу (например, резервные подключения к Интернету), а IP-адрес клиента подвергается преобразованию сетевых адресов .

Примеры имен, которые некоторые языки программирования используют при именовании своих файлов cookie, включают JSESSIONID ( Java EE ), PHPSESSID ( PHP ) и ASPSESSIONID ( Microsoft ASP ).

• Управление сеансами

• «Руководство по PHP»
• «Руководство ASP» в w3schools