‫ادارة الجلسات‬

‫تأمين الجلسة يلعب دورا مهما في بناء تطبيقات ويب أمنة‪ ،‬ال يعد تطبيق الويب أمنًا ان لم‬
‫يتم حمايته من الهجمات الخارجية مثل ‪ XSS‬ألن تلك السكريبتات الخبيثة مصممة للوصول‬
‫للبيانات الحساسة مثل الكوكيز و تعمل كمفتاح لتخزين ال ‪tokens‬‬
‫المخترقين يستطيعون االستغالل والوصول الغير المصرح به للتطبيق البنكي بسبب‬
‫الممارسات الغير سليمة للمصادقة والتفويض‪.‬‬
‫ما هي الجلسة؟‬
‫بدايًة يوصف بروتوكول ال ‪ http‬أنه بروتوكول ‪ stateless‬هذا يعني أن السيرفر يعالج كل‬
‫طلب من ال ‪ client‬بشكل مستق لعم الطلبات األخرى أي أن السيرفر ال يحتفظ بأية معلومات‬
‫حول الطلبات السابقة المرسلة من العميل ذاته أي السيرفر يعالج كل طلب ‪ http‬يستقبله‬
‫دون أي معرفة بالطلبات السابقة‬
‫لذلك تستخدم ‪ sessions‬وال ‪ tokens‬للتغلب على طبيعة ال ‪ stateless‬لبروتوكول ال‬
‫‪ http‬وبطريقة ما اذا استولى المخترقون على الكوكيز وبذلك يستطيعون تزييف هويتهم‬
‫واستخالص معلومات المستخدمين الحساسة‬
‫أنواع المصادقة‪:‬‬
‫‪Session based authentication:‬‬
‫معرف الجلسة ‪ session id‬يتم انشائه من جهة الخادم لتمييز كل ‪ ،user login‬ان معرف‬
‫الجلسة يتم ارساله للمتصفح‪ ،‬يتم تخزينه ضمن الكوكي في المتصفح‪ ،‬وعندما يقوم‬
‫المستخدم بتسجيل الدخول فأن الكوكي سوف ترسل مع كل طلب‬
‫‪;Cookie: Session_Id=bhbsbdljfbsjkd9784a49hjihfgkdh4iuhuihnh43i65743‬‬
 ‫كيف تتم عملية التحقق‪:‬‬
‫يقوم المستخدم بتسجيل الدخول باستخدام اسم المستخدم وكلمة المرور‬
‫السيرفر يتحقق من ال ‪ credentials‬ويقوم بانشاء ال‪ session‬مع ‪session id‬‬
‫يتم ارسال ال ‪ session id‬الى اليوزر ضمن ال ‪cookie‬‬
‫في الطلبات التالية يتم ارسال ال ‪ session id‬لدى المستخدم ويتم مقارنتها مع ال‬
‫‪ session id‬المخزنة عند العميل وفي حال التطابق يتم اعتبارهأ ‪ valid‬ويتم معالجة الطلب‬
‫في حال قام اليوزر بتسجيل الخروج من التطبيق عندها يتم الغاء الجلسة لدى كال الطرفين‬