Un ID di sessione è un modo in cui un sistema informatico, in genere un server, è in grado di identificare e tracciare le azioni di un singolo utente durante una particolare sessione.Questi sono usati in modo abbastanza ampiamente su Internet da una varietà di siti Web e possono essere utilizzati vari metodi, come cookie o localizzatori di risorse uniformi (URL) specificamente destinati a rintracciarli.Utilizzando questi identificatori, un sistema è in grado di tracciare più facilmente gli utenti attualmente connessi al sistema e fornire informazioni pertinenti a ciascun utente.Un ID di sessione viene generalmente generato all'inizio di una sessione ed è univoco per un determinato utente durante quella sessione.

Chiamato anche identificatore di sessione, un ID di sessione è un codice numerico o alfanumerico dato a un utente connesso a un sistema informatico,come un server di siti Web.Questo codice viene quindi utilizzato durante una sessione per identificare quell'utente e consentirgli di avere informazioni specifiche per il suo uso.Ad esempio, un sito Web di shopping potrebbe consentire a un utente di aggiungere articoli che è interessato ad acquistare a un "carrello" virtuale.Questo carrello per la spesa si baserebbe sull'ID sessione dell'utente per tracciare gli elementi che aggiunge e mantengono separati i carrelli di ciascun utente.

In base alla progettazione, un ID di sessione viene generalmente generato quando un utente visita per la prima volta un sito Web e questoessere fatto in diversi modi.Questo viene spesso fatto attraverso un generatore di numeri casuali per evitare più efficacemente gli hacker che possono tentare di usare falsamente l'identificatore di qualcun altro.Gli hacker o altri utenti che tentano di avviare una qualche forma di attacco a un sistema possono utilizzare un metodo chiamato "Previsione della sessione" per cercare di determinare l'identificatore di qualcun altro, quindi eseguire "Hijacking della sessione" per utilizzare l'identificatore e appaiono come un altro utente aquel sistema.Informazioni più specifiche possono essere utilizzate per generare un ID di sessione, tuttavia, ad esempio la data o il tempo che un utente inizia una sessione, garantendo che l'identificatore rimanga univoco per utenti diversi.

Un ID di sessione è in genere valido solo per una singola sessione d'uso, sebbene ciò possa essere definito in modi diversi su sistemi diversi.In generale, una sessione inizia quando qualcuno naviga su una pagina Web e termina quando l'utente lascia la pagina.Alcuni sistemi sono progettati con una funzione timeout che terminerà una sessione dopo un determinato periodo di inattività passa, spesso circa 10 minuti.Altri sistemi riconosceranno persino un ID di sessione dopo che l'utente si allontana dalla pagina web e poi restituirà, purché l'utente non abbia chiuso il suo programma di browser Internet.