Identyfikator sesji to sposób, w jaki system komputerowy, zazwyczaj serwer, jest w stanie zidentyfikować i śledzić działania jednego użytkownika podczas każdej konkretnej sesji.Są one dość szeroko stosowane w Internecie przez różne strony internetowe i można zastosować różne metody, takie jak pliki cookie lub jednolite lokalizatory zasobów (URL) specjalnie przeznaczone do ich śledzenia.Korzystając z tych identyfikatorów, system jest w stanie łatwiej śledzić użytkowników obecnie podłączonych do systemu i dostarczyć informacji odpowiednich dla każdego użytkownika.Identyfikator sesji jest zwykle generowany na początku sesji i jest unikalny dla danego użytkownika podczas tej sesji.

Nazywany również identyfikatorem sesji, identyfikator sesji jest kodem numerycznym lub alfanumerycznym podanym użytkownikowi podłączonym do systemu komputerowego,takie jak serwer witryny.Ten kod jest następnie używany podczas sesji, aby zidentyfikować tego użytkownika i pozwolić mu na posiadanie informacji specyficznych dla jego użycia.Na przykład strona internetowa zakupów może pozwolić użytkownikowi na dodawanie przedmiotów, które jest zainteresowany zakupem w wirtualnym „koszyku”.Ten koszyk polegałby na identyfikatorze sesji użytkownika, aby śledzić elementy, które dodaje, i utrzymywał oddzielnie wózki każdego użytkownika.

Według projektu identyfikator sesji jest zwykle generowany, gdy użytkownik po raz pierwszy odwiedza stronę internetową, i to możebyć wykonywane na wiele różnych sposobów.Często odbywa się to za pośrednictwem generatora liczb losowych, aby skuteczniej unikać hakerów, którzy mogą próbować fałszywie użyć czyjejś identyfikatora.Hakerzy lub inni użytkownicy próbujący uruchomić jakąś formę ataku na system, mogą użyć metody o nazwie „Prognozy sesji”, aby spróbować określić identyfikator kogoś innego, a następnie wykonać „porwanie sesji”, aby użyć identyfikatora i wyglądać jak inny użytkownikten system.Można jednak wykorzystać bardziej szczegółowe informacje do wygenerowania identyfikatora sesji, takich jak data lub godzina rozpoczynająca sesję użytkownika, upewniając się, że identyfikator pozostaje unikalny dla różnych użytkowników.

Identyfikator sesji jest zazwyczaj ważny tylko dla jednej sesji użytkowania, choć można to zdefiniować na różne sposoby w różnych systemach.Ogólnie rzecz biorąc, sesja zaczyna się, gdy ktoś nawiguje na stronę internetową i kończy się, gdy użytkownik opuszcza stronę.Niektóre systemy są zaprojektowane z funkcją czasu, która zakończy sesję po ustalonym okresie przechodzenia bezczynności, często około 10 minut.Inne systemy rozpoznają nawet identyfikator sesji po tym, jak użytkownik odejdzie od strony internetowej, a następnie zwróci, o ile użytkownik nie zamknął swojego programu przeglądarki internetowej.