Cookie

Stateless

Stateless betekent dat een server geen toestand (state) tussen requests bijhoudt. Elk request bevat alle benodigde informatie op zichzelf. HTTP is van nature stateless. Voordelen zijn eenvoudiger schalen en cachen. Nadeel: je moet state elders bijhouden, zoals in tokens (JWT), cookies of een gecentraliseerde sessiestore (Redis). REST-API’s zijn doorgaans stateless.

AA

Servers

JSON Web Token

Een JWT is een compact, URL-veilig tokenformaat voor het veilig uitwisselen van claims. Het bestaat uit een header, payload (data) en een signature. Het is stateless, dus de server bewaart geen sessie. Gebruik het voor authenticatie en dataoverdracht, met veilige opslag (bijv. HttpOnly-cookies) en duidelijke vervaltijden.

AA

Beveiliging

Session

Een sessie bewaart gebruikersstatus over meerdere HTTP-requests (HTTP is stateless). De session-ID staat in een cookie, de data staat server-side. Toepassingen zijn login, winkelwagen en voorkeuren. Sessies verlopen na een timeout of logout. Alternatief: stateless tokens (JWT). In clusters deel je sessies via bv. Redis.

AA

Servers

Session Management

Session management houdt gebruikersstatus en data bij over meerdere HTTP-verzoeken, omdat HTTP stateless is. De server slaat sessies op en herkent gebruikers via een unieke session-ID in een cookie. Toepassingen zijn login, winkelwagens en voorkeuren. Een alternatief is token-based (JWT).

AA

Backend

Cross-Site Request Forgery

CSRF is een aanval waarbij een kwaadaardige site ongeautoriseerde acties uitvoert op een site waar de gebruiker al is ingelogd. De browser stuurt automatisch cookies mee, waardoor de actie lijkt te komen van de gebruiker. Voorkom dit met CSRF-tokens, het SameSite-cookie-attribuut en validatie van Origin/Referer-headers.

AA

Beveiliging