En session cookie er en midlertidig informasjonskapsel som lagres i nettleseren, og som inneholder en identifikator (en session‑ID) som peker til en innlogget brukers sesjon på serveren. Når brukeren logger inn, opprettes det en sesjon på serveren, og nettleseren får en session cookie. Denne sendes automatisk med ved videre forespørsler til samme domene, slik at serveren kan koble forespørselen til riktig bruker – uten at brukeren trenger å logge inn på nytt hele tiden.
Session cookies slettes ofte når nettleseren lukkes, eller når sesjonen utløper på serveren etter en bestemt tidsperiode. De brukes mye i klassiske webapplikasjoner der mesteparten av logikken og visningen skjer på serveren.
Session cookie vs. token – og kort om tilstand
Session cookies brukes i tilstandsfulle (stateful) løsninger, der serveren husker hvem du er mellom hver gang du gjør noe. All informasjon om innlogget bruker og rettigheter ligger på serveren, og session‑ID‑en i cookien fungerer bare som nøkkelen inn til denne «hukommelsen».
Token‑baserte løsninger er tilstandsløse (stateless): serveren lagrer ikke sesjonsdata om brukeren mellom forespørsler. I stedet følger nødvendig informasjon om brukeren med i tokenet som klienten sender. Dette gjør det enklere å skalere og dele autentisering på tvers av mange tjenester, men gjør det også viktig å ha god styring på levetid og håndtering av token, siden det kan være vanskeligere å annullere et token før det går ut på tid.