En informática , un identificador de sesión , ID de sesión o token de sesión es un dato que se utiliza en las comunicaciones de red (a menudo a través de HTTPS ) para identificar una sesión , una serie de intercambios de mensajes relacionados. Los identificadores de sesión se vuelven necesarios en los casos en que la infraestructura de comunicaciones utiliza un protocolo sin estado como HTTP. Por ejemplo, un comprador que visita el sitio web de un vendedor quiere recopilar una cantidad de artículos en un carrito de compras virtual y luego finalizar la compra yendo a la página de pago del sitio. Por lo general, esto implica una comunicación continua en la que el cliente solicita varias páginas web y el servidor las devuelve. En tal situación, es vital realizar un seguimiento del estado actual del carrito del comprador, y una ID de sesión es una forma de lograr ese objetivo.
Por lo general, se otorga una identificación de sesión a un visitante en su primera visita a un sitio. Se diferencia de una identificación de usuario en que las sesiones suelen ser de corta duración (caducan después de un tiempo preestablecido de inactividad que puede ser minutos u horas) y pueden dejar de ser válidas después de que se haya alcanzado un determinado objetivo (por ejemplo, una vez que el comprador ha finalizado su pedido, no pueden usar el mismo ID de sesión para agregar más artículos).
Como los ID de sesión se utilizan a menudo para identificar a un usuario que ha iniciado sesión en un sitio web, un atacante puede utilizarlos para secuestrar la sesión y obtener posibles privilegios. Un ID de sesión suele ser una cadena generada aleatoriamente para disminuir la probabilidad de obtener uno válido mediante una búsqueda de fuerza bruta . Muchos servidores realizan una verificación adicional del cliente, en caso de que el atacante haya obtenido el ID de la sesión. Bloquear un ID de sesión en la dirección IP del cliente es una medida simple y efectiva siempre que el atacante no pueda conectarse al servidor desde la misma dirección, pero puede causar problemas a un cliente si el cliente tiene múltiples rutas al servidor (por ejemplo, rutas redundantes). conexiones a Internet) y la dirección IP del cliente se somete a la traducción de direcciones de red .
Ejemplos de los nombres que utilizan algunos lenguajes de programación al nombrar sus cookies incluyen JSESSIONID ( Java EE ), PHPSESSID ( PHP ) y ASPSESSIONID ( Microsoft ASP ).