Una ID de sesión es una forma en que un sistema informático, normalmente un servidor, puede identificar y rastrear las acciones de un solo usuario durante una sesión en particular. Estos se utilizan ampliamente en Internet por una variedad de sitios web, y se pueden usar varios métodos, como cookies o localizadores uniformes de recursos (URL) diseñados específicamente para rastrearlos. Al usar estos identificadores, un sistema puede rastrear más fácilmente a los usuarios actualmente conectados al sistema y proporcionar información relevante para cada usuario. Un ID de sesión generalmente se genera al inicio de una sesión y es único para un usuario determinado durante esa sesión.
También llamado identificador de sesión, un ID de sesión es un código numérico o alfanumérico que se le da a un usuario conectado a un sistema informático, como un servidor de sitio web. Este código se utiliza luego durante una sesión para identificar a ese usuario y permitirle tener información específica para su uso. Por ejemplo, un sitio web de compras puede permitir que un usuario agregue artículos que le interese comprar a un «carrito de compras» virtual. Este carrito de la compra se basaría en el ID de sesión del usuario para realizar un seguimiento de los artículos que agrega y mantener separados los carritos de cada usuario.
Por diseño, un ID de sesión se genera normalmente cuando un usuario visita un sitio web por primera vez, y esto se puede hacer de varias formas diferentes. Esto a menudo se hace a través de un generador de números aleatorios para evitar de manera más efectiva a los piratas informáticos que pueden intentar usar falsamente el identificador de otra persona. Los piratas informáticos u otros usuarios que intenten lanzar algún tipo de ataque en un sistema pueden usar un método llamado «predicción de sesión» para intentar determinar el identificador de otra persona y luego realizar un «secuestro de sesión» para usar el identificador y aparecer como otro usuario para ese sistema. Sin embargo, se puede usar información más específica para generar un ID de sesión, como la fecha u hora en que un usuario comienza una sesión, lo que garantiza que el identificador siga siendo único para diferentes usuarios.
Por lo general, un ID de sesión solo es válido para una única sesión de uso, aunque esto se puede definir de diferentes maneras en diferentes sistemas. En general, una sesión comienza cuando alguien navega a una página web y finaliza cuando el usuario abandona la página. Algunos sistemas están diseñados con una función de tiempo de espera que finalizará una sesión después de un período de tiempo establecido de inactividad, a menudo alrededor de 10 minutos. Otros sistemas incluso reconocerán una ID de sesión después de que el usuario navegue fuera de la página web y luego regrese, siempre que el usuario no haya cerrado su programa de navegador de Internet.