会话管理过程涵盖从身份验证到离开应用程序的各种用户控制。 HTTP 是一种无状态协议,这意味着 Web 服务器响应客户端请求时无需建立连续连接到它。 因此,即使是简单的应用程序也要求用户在与会话关联之前发送多个请求。 这通常通过适当的身份识别令牌(称为会话 ID 或 Cookie)完成。 检查应用程序如何管理会话,以及流程是否可能出现混乱。 下图显示向应用服务器请求用户身份验证的 POST 请求。
在下一个图中,您可以看到设置用户 ASPXUSERWU 令牌作为会话 ID 的服务器响应。
随后向服务器发送的每一个请求都带有以下图形中所示的预先确定的会话令牌。
