El proceso de administración de sesiones abarca una amplia gama de controles de usuario, desde la autenticación hasta la salida de la aplicación. HTTP es un protocolo sin estado, lo que significa que los servidores web responden a las solicitudes de los clientes sin establecer una conexión continua con él. Por lo tanto, incluso una aplicación simple requiere que el usuario envíe varias solicitudes antes de que una sesión esté asociada a ella. Esto se hace con mayor frecuencia a través de un token de identificación adecuado, denominado identificador de sesión o cookie. Examine cómo la aplicación administra la sesión y si existe la posibilidad de un trastorno del proceso. La imagen siguiente muestra una solicitud POST al servidor de aplicaciones para la autenticación de usuarios.
En la siguiente ilustración, puede ver la respuesta del servidor que establece el token ASPXUSERWU del usuario para que actúe como identificador de sesión.
Cada solicitud posterior al servidor se envía con un token de sesión predeterminado como se muestra en el gráfico siguiente.
