Identyfikator sesji to sposób, w jaki system komputerowy, zazwyczaj serwer, jest w stanie zidentyfikować i śledzić działania pojedynczego użytkownika podczas dowolnej sesji. Są one dość powszechnie używane w Internecie przez różne witryny i można stosować różne metody, takie jak pliki cookie lub adresy URL przeznaczone specjalnie do ich śledzenia. Korzystając z tych identyfikatorów, system jest w stanie łatwiej śledzić użytkowników aktualnie podłączonych do systemu i dostarczać informacje istotne dla każdego użytkownika. Identyfikator sesji jest zwykle generowany na początku sesji i jest unikalny dla danego użytkownika podczas tej sesji.
Nazywany również identyfikatorem sesji, identyfikator sesji to numeryczny lub alfanumeryczny kod nadany użytkownikowi podłączonemu do systemu komputerowego, takiego jak serwer strony internetowej. Kod ten jest następnie używany podczas sesji w celu zidentyfikowania tego użytkownika i umożliwienia mu uzyskania informacji dotyczących jego użytkowania. Na przykład witryna zakupów może umożliwiać użytkownikowi dodawanie produktów, które chce kupić, do wirtualnego „koszyka na zakupy”. Ten koszyk na zakupy będzie opierał się na identyfikatorze sesji użytkownika do śledzenia dodawanych przez niego elementów i oddzielenia koszyków każdego użytkownika.
Zgodnie z projektem identyfikator sesji jest zazwyczaj generowany, gdy użytkownik po raz pierwszy odwiedza witrynę internetową i można to zrobić na wiele różnych sposobów. Często odbywa się to za pomocą generatora liczb losowych, aby skuteczniej unikać hakerów, którzy mogą próbować fałszywie użyć cudzego identyfikatora. Hakerzy lub inni użytkownicy próbujący przeprowadzić jakąś formę ataku na system mogą użyć metody zwanej „przewidywaniem sesji”, aby spróbować określić identyfikator innej osoby, a następnie wykonać „przechwytywanie sesji”, aby użyć identyfikatora i wyglądać jak inny użytkownik ten system. Do wygenerowania identyfikatora sesji można użyć bardziej szczegółowych informacji, takich jak data lub godzina rozpoczęcia sesji przez użytkownika, dzięki czemu identyfikator pozostaje unikalny dla różnych użytkowników.
Identyfikator sesji jest zazwyczaj ważny tylko dla pojedynczej sesji użytkowania, chociaż można go zdefiniować na różne sposoby w różnych systemach. Ogólnie sesja rozpoczyna się, gdy ktoś przechodzi na stronę internetową i kończy się, gdy użytkownik opuszcza stronę. Niektóre systemy zaprojektowano z funkcją limitu czasu, która kończy sesję po upływie określonego czasu bezczynności, często około 10 minut. Inne systemy rozpoznają nawet identyfikator sesji, gdy użytkownik opuści stronę internetową, a następnie powróci, o ile użytkownik nie zamknął przeglądarki internetowej.