INÍCIO
Livros do Prof.
Sessões e Autenticação de Usuários em Java Web
Aprenda a implementar sistemas seguros de autenticação em suas aplicações web Java utilizando JSP, Servlets e JDBC. Domine o controle de sessões HTTP e proteja o acesso às áreas restritas do seu sistema.
Introdução à Gerência de Sessão
Uma sessão em aplicações web representa uma sequência de interações entre um usuário específico e o servidor durante um período de tempo. É como uma "conversa" contínua entre o navegador do usuário e o servidor.
A gerência de sessão permite que o servidor identifique usuários individuais, mesmo com múltiplos acessos simultâneos, possibilitando experiências personalizadas e seguras para cada visitante do site.
A sessão é fundamental para aplicações que necessitam rastrear o estado do usuário entre diferentes requisições HTTP, como carrinhos de compras, área de membros ou sistemas administrativos.
Por que autenticação?
Proteção de Áreas Restritas
A autenticação funciona como um guardião digital que protege informações sensíveis e recursos exclusivos do seu sistema. Ela garante que apenas usuários autorizados possam acessar áreas específicas da aplicação.
Acesso Seguro e Personalizado
Além da segurança, a autenticação permite identificar cada usuário individualmente, possibilitando a personalização da experiência com base no perfil, permissões e preferências específicas do usuário logado.
Em um mundo digital onde a segurança da informação é crítica, implementar um sistema robusto de autenticação não é apenas uma boa prática - é uma necessidade absoluta para qualquer aplicação web profissional.
Componentes envolvidos
JSP (JavaServer Pages)
Responsável pela interface com o usuário, criando formulários de login e exibindo conteúdo personalizado baseado no estado da sessão. O JSP manipula a apresentação dos dados ao usuário final.
Servlet
Gerencia a lógica de negócio da autenticação, processa os dados do formulário, valida credenciais e controla o fluxo de redirecionamento. É o coração do sistema de autenticação.
JDBC
Fornece a conexão com o banco de dados para verificar credenciais armazenadas e recuperar informações do perfil do usuário após autenticação bem-sucedida.
Conceito de Sessão HTTP
HTTP é Stateless
O protocolo HTTP, por natureza, não mantém estado entre requisições. Cada solicitação é tratada de forma independente, sem memória de interações anteriores. Isso significa que o servidor, por padrão, não sabe se duas requisições vieram do mesmo usuário.
As sessões foram criadas justamente para superar essa limitação, permitindo que o servidor identifique múltiplas requisições como pertencentes ao mesmo usuário, mesmo sendo enviadas em momentos diferentes.
A sessão funciona como uma "ponte" que conecta requisições independentes, criando uma experiência contínua para o usuário durante sua navegação pelo site. Isso é essencial para recursos como carrinhos de compra, áreas de membros e qualquer funcionalidade que precise "lembrar" do usuário.
Criação de Sessão no Java
// Obtendo ou criando uma sessão
HttpSession session = request.getSession();

// Ou especificando se deve criar caso não exista
HttpSession session = request.getSession(true);
O método getSession() é a principal forma de acessar ou criar uma sessão em aplicações Java web. Quando chamado sem parâmetros ou com true, ele cria automaticamente uma nova sessão caso não exista uma associada ao usuário atual.
Nos bastidores, quando um usuário acessa o site pela primeira vez, o servidor gera um ID de sessão único, cria um objeto HttpSession no servidor e envia esse ID para o navegador do cliente, geralmente via cookie.
Nas requisições subsequentes, o navegador envia esse ID junto, permitindo que o servidor recupere o objeto de sessão correto associado àquele usuário específico.
Identificação via Cookie JSESSIONID
O JSESSIONID é um cookie automático criado por aplicações Java web para rastrear a sessão do usuário. Este pequeno arquivo é armazenado no navegador do cliente e contém um identificador único gerado pelo servidor.
Quando o usuário navega pelo site, esse cookie é enviado em cada requisição, permitindo que o servidor identifique rapidamente qual objeto HttpSession pertence àquele usuário específico.
Você pode visualizar este cookie nas ferramentas de desenvolvedor do seu navegador, na seção de cookies ou armazenamento. O valor parece algo como: JSESSIONID=A43F7D2C0EE0B35742B15B41577E5F8A
Alternativa: URL Rewriting
Nem todos os usuários permitem cookies em seus navegadores. Para estes casos, o Java EE oferece uma alternativa chamada URL Rewriting, que adiciona o identificador de sessão diretamente à URL.
Quando o servidor detecta que cookies estão desabilitados, ele automaticamente reescreve os links da página, incluindo o parâmetro JSESSIONID na URL.
Exemplo de URL reescrita:
http://meusite.com.br/pagina.jsp;jsessionid=A43F7D2C0EE0B35742B15B41577E5F8A
Embora funcional, esta abordagem tem desvantagens em termos de segurança e estética da URL, sendo preferível o uso de cookies quando possível.
Informações armazenadas na Sessão
// Armazenando dados na sessão
session.setAttribute("usuario", usuarioLogado);
session.setAttribute("permissoes", listaPermissoes);
session.setAttribute("tema", temaPreferido);

// Recuperando dados da sessão
Usuario user = (Usuario) session.getAttribute("usuario");
List permissoes = (List) session.getAttribute("permissoes");
A sessão funciona como um mapa de chave-valor, onde você pode armazenar praticamente qualquer objeto Java usando setAttribute() e recuperá-lo posteriormente com getAttribute().
Objetos comumente armazenados incluem informações do usuário logado, permissões de acesso, preferências de interface, itens de carrinho de compras e quaisquer dados que precisem persistir entre múltiplas páginas durante a navegação do usuário.
Exemplo Prático – LoginServlet (Servlet)
O LoginServlet é responsável por processar as informações enviadas pelo formulário de login. Como boas práticas de segurança, sempre utilize o método POST para enviar credenciais, nunca o método GET que expõe dados na URL.
O fluxo básico de um servlet de login inclui:
  1. Receber o nome de usuário e senha do formulário
  1. Validar as credenciais contra uma fonte confiável (banco de dados, LDAP, etc)
  1. Se válido, criar/atualizar a sessão com os dados do usuário
  1. Redirecionar para a área restrita ou página inicial
  1. Se inválido, redirecionar de volta ao login com mensagem de erro
Código: Implementando LoginServlet
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
 
 @Override
 protected void doPost(HttpServletRequest request, 
 HttpServletResponse response) 
 throws ServletException, IOException {
 
 String username = request.getParameter("username");
 String password = request.getParameter("password");
 
 // Validação simples (substitua por consulta ao banco)
 if ("admin".equals(username) && "senha123".equals(password)) {
 // Cria a sessão
 HttpSession session = request.getSession();
 
 // Armazena informações do usuário
 session.setAttribute("usuarioLogado", username);
 session.setAttribute("autenticado", true);
 
 // Redireciona para área restrita
 response.sendRedirect("areaRestrita.jsp");
 } else {
 // Redireciona de volta com mensagem de erro
 response.sendRedirect("login.jsp?erro=credenciais");
 }
 }
}
Tempo de expiração da sessão
Por padrão, uma sessão HTTP em servidores Java expira após 30 minutos de inatividade. Este valor pode ser personalizado para atender às necessidades específicas da sua aplicação.
// Define o tempo máximo de inatividade (em segundos)
session.setMaxInactiveInterval(1800); // 30 minutos

// Para sessões mais curtas (ex: área sensível)
session.setMaxInactiveInterval(300); // 5 minutos

// Para sessões mais longas (ex: "Lembrar de mim")
session.setMaxInactiveInterval(86400); // 24 horas
O tempo ideal de expiração é um equilíbrio entre segurança e experiência do usuário:
  • Sessões muito curtas aumentam a segurança, mas frustram usuários com logout frequente
  • Sessões muito longas melhoram a experiência, mas aumentam o risco de acesso não autorizado
Para áreas com dados sensíveis, priorize a segurança com tempos mais curtos.
Logout: encerrando a sessão
@WebServlet("/logout")
public class LogoutServlet extends HttpServlet {
    
    @Override
    protected void doGet(HttpServletRequest request, 
                        HttpServletResponse response) 
                        throws ServletException, IOException {
        
        // Obtém a sessão atual (sem criar nova)
        HttpSession session = request.getSession(false);
        
        if (session != null) {
            // Invalida a sessão
            session.invalidate();
        }
        
        // Redireciona para a página inicial
        response.sendRedirect("index.jsp");
    }
}
O método session.invalidate() destrói completamente a sessão atual e todos os dados associados a ela. Após esta chamada, a sessão não pode mais ser usada, e o usuário precisará autenticar-se novamente para acessar áreas restritas.
É importante sempre implementar uma funcionalidade de logout para permitir que usuários encerrem sua sessão voluntariamente, especialmente em computadores compartilhados.
JSP: Exemplo de Redirecionamento
Em JSP, você pode realizar redirecionamentos usando scriptlets, mas esta prática não é recomendada para lógica de controle de acesso complexa:
<%
    // Verifica se usuário não está autenticado
    if (session.getAttribute("autenticado") == null) {
        // Redireciona para página de login
        response.sendRedirect("login.jsp");
        return; // Importante para interromper a execução
    }
%>

<!-- Conteúdo restrito aqui -->
Embora funcional, esta abordagem tem desvantagens:
  • Mistura lógica de negócio com apresentação
  • Requer duplicação de código em múltiplas páginas
  • Dificulta a manutenção em aplicações grandes
É preferível implementar um Servlet Filter para centralizar a lógica de controle de acesso, como veremos adiante.
Controle de Acesso a Páginas Restritas
Requisição do Usuário
Usuário tenta acessar uma página restrita da aplicação
Verificação de Sessão
Sistema verifica se existe sessão válida e se o atributo de autenticação está presente
Redirecionamento Condicional
Se autenticado: permite acesso à página solicitada
Se não autenticado: redireciona para tela de login
O controle de acesso é uma camada de segurança fundamental que deve ser implementada em todas as páginas restritas. Idealmente, esta lógica deve ser centralizada em um componente reutilizável como um Servlet Filter, em vez de duplicada em cada página JSP.
Exemplo: Filtro de Autorização (Servlet Filter)
@WebFilter("/admin/*")
public class AutorizacaoFilter implements Filter {
    
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, 
                        FilterChain chain) throws IOException, ServletException {
        
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        
        // Obtém a sessão (sem criar nova)
        HttpSession session = req.getSession(false);
        
        // Verifica se está autenticado
        boolean isAutenticado = session != null && 
                               session.getAttribute("autenticado") != null &&
                               (Boolean) session.getAttribute("autenticado");
        
        // Permite o acesso ou redireciona
        if (isAutenticado) {
            // Continua o processamento da requisição
            chain.doFilter(request, response);
        } else {
            // Redireciona para login
            res.sendRedirect(req.getContextPath() + "/login.jsp");
        }
    }
    
    // Outros métodos do Filter...
}
O Servlet Filter intercepta todas as requisições para um padrão de URL definido (no exemplo, "/admin/*") antes que cheguem ao destino final, permitindo verificar a autenticação de forma centralizada.
Prática: Formulário de Login em JSP
<!-- login.jsp -->
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
 <meta charset="UTF-8">
 <title>Login</title>
</head>
<body>
 <h1>Acesso ao Sistema</h1>
 
 <% if (request.getParameter("erro") != null) { %>
 <p style="color: red;">Usuário ou senha inválidos!</p>
 <% } %>
 
 <form action="login" method="post">
 <div>
 <label for="username">Usuário:</label>
 <input type="text" id="username" name="username" required>
 </div>
 <div>
 <label for="password">Senha:</label>
 <input type="password" id="password" name="password" required>
 </div>
 <button type="submit">Entrar</button>
 </form>
</body>
</html>
Integração com JDBC (Banco de Dados)
Na prática, as credenciais dos usuários devem ser armazenadas em um banco de dados, não codificadas diretamente no servlet. Abaixo, um exemplo de validação usando JDBC:
// No LoginServlet, substitua a validação simples por:
String sql = "SELECT * FROM usuarios WHERE username = ? AND senha = ?";

try (Connection conn = DatabaseUtil.getConnection();
     PreparedStatement stmt = conn.prepareStatement(sql)) {
    
    stmt.setString(1, username);
    stmt.setString(2, password); // Idealmente, use hash+salt
    
    try (ResultSet rs = stmt.executeQuery()) {
        if (rs.next()) {
            // Usuário encontrado, credenciais válidas
            HttpSession session = request.getSession();
            session.setAttribute("usuarioLogado", username);
            session.setAttribute("autenticado", true);
            
            // Opcional: carregar mais dados do usuário
            session.setAttribute("nomeCompleto", rs.getString("nome"));
            session.setAttribute("perfil", rs.getString("perfil"));
            
            response.sendRedirect("areaRestrita.jsp");
            return;
        }
    }
}

// Se chegou aqui, credenciais inválidas
response.sendRedirect("login.jsp?erro=credenciais");
Observações importantes:
  • Sempre use PreparedStatement para evitar injeção SQL
  • Nunca armazene senhas em texto puro no banco
  • Considere usar um pool de conexões para melhor performance
  • Trate adequadamente exceções SQL
A consulta real ao banco torna o sistema muito mais flexível, permitindo cadastro de novos usuários sem alterar o código da aplicação.
Fluxo de Autenticação Completo
Usuário acessa formulário de login
O usuário navega até a página de login da aplicação, onde encontra campos para inserir usuário e senha.
Envio para LoginServlet
Os dados do formulário são enviados via POST para o LoginServlet, que recebe e processa as credenciais.
Verificação no Banco de Dados
O servlet consulta o banco de dados via JDBC para verificar se as credenciais fornecidas são válidas.
Criação da Sessão
Se válido, o servlet cria/atualiza a sessão, armazenando informações do usuário autenticado.
Acesso à Página Restrita
O usuário é redirecionado para a área restrita, e o filtro de autorização permite o acesso com base nos dados da sessão.
Boas Práticas: Senhas e Segurança

Nunca armazene senhas em texto puro!
Este é um dos erros mais graves em segurança de aplicações. Senhas devem sempre ser armazenadas usando funções de hash criptográficas com salt.
Implementação básica de hash+salt em Java:
import java.security.MessageDigest;
import java.security.SecureRandom;
import java.util.Base64;

// Gerar salt aleatório
SecureRandom random = new SecureRandom();
byte[] salt = new byte[16];
random.nextBytes(salt);
String saltBase64 = Base64.getEncoder().encodeToString(salt);

// Combinar senha com salt e aplicar hash
String senha = "minhasenha";
String senhaComSalt = senha + saltBase64;
MessageDigest md = MessageDigest.getInstance("SHA-256");
byte[] hashedPassword = md.digest(senhaComSalt.getBytes());
String hashedPasswordBase64 = Base64.getEncoder().encodeToString(hashedPassword);

// Armazenar no banco: hashedPasswordBase64 e saltBase64 (em campos separados)
Na validação, recupere o salt do banco, combine com a senha fornecida e compare os hashes.
Dica: Session Fixation e Segurança
Session Fixation é um tipo de ataque onde um invasor fixa um ID de sessão conhecido para um usuário antes dele se autenticar. Após a autenticação, o invasor pode usar o ID fixado para sequestrar a sessão.
Para proteger contra esse tipo de ataque, sempre crie uma nova sessão após a autenticação bem-sucedida:
// No LoginServlet, após validar credenciais:

// Invalida a sessão antiga
session.invalidate();

// Cria uma nova sessão
session = request.getSession(true);

// Armazena os dados do usuário na nova sessão
session.setAttribute("usuarioLogado", username);
session.setAttribute("autenticado", true);
Outras práticas recomendadas para segurança de sessão:
  • Use HTTPS para toda a aplicação, especialmente login
  • Configure cookies de sessão como HttpOnly e Secure
  • Implemente timeout apropriado para sessões
  • Registre tentativas de login fracassadas
  • Considere verificação de IP ou fingerprint do navegador
Cuidados com Dados em Sessão
Evite objetos pesados
Objetos grandes como resultados de consultas, listas de produtos ou relatórios completos não devem ser armazenados na sessão. Eles consomem memória do servidor para cada usuário ativo, podendo causar problemas de performance.
Cuidado com dados sensíveis
Informações altamente sensíveis como números de cartão de crédito ou senhas não devem permanecer na sessão por mais tempo que o necessário. Se precisar armazená-los temporariamente, considere criptografá-los.
Apenas o essencial
Armazene apenas o que for realmente necessário para identificar o usuário e suas permissões. Dados que podem ser facilmente recuperados do banco quando necessário não precisam ocupar a sessão.
Lembre-se de que cada objeto armazenado na sessão permanece na memória do servidor até que a sessão expire ou seja invalidada. Em aplicações com muitos usuários simultâneos, o consumo de memória pode se tornar um problema sério.
Desafio Prático: Logout
Vamos implementar um botão de logout em nossa aplicação. Primeiro, crie um link na área restrita que aponte para o LogoutServlet:
<!-- areaRestrita.jsp -->
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>Área Restrita</title>
</head>
<body>
    <h1>Bem-vindo à Área Restrita</h1>
    
    <p>
        Olá, ${sessionScope.usuarioLogado}! 
        Você está autenticado.
    </p>
    
    <div>
        <a href="conteudoProtegido.jsp">Conteúdo Protegido</a>
    </div>
    
    <div>
        <a href="logout">Sair do Sistema</a>
    </div>
</body>
</html>
Exercícios para praticar:
  1. Implemente o LogoutServlet conforme visto anteriormente
  1. Teste o processo de logout clicando no link "Sair do Sistema"
  1. Verifique se, após o logout, tentar acessar areaRestrita.jsp redireciona para login.jsp
  1. Crie um teste para verificar a expiração automática:
  • Configure um tempo curto de sessão (ex: 1 minuto)
  • Faça login e aguarde o tempo configurado
  • Tente acessar uma página restrita e observe o redirecionamento
Testando Redirecionamentos
1
Teste 1: Acesso direto a área restrita sem login
Abra uma nova janela anônima e tente acessar diretamente uma URL protegida como: http://localhost:8080/suaapp/areaRestrita.jsp
Resultado esperado: Redirecionamento automático para login.jsp
2
Teste 2: Login com credenciais válidas
Preencha o formulário com credenciais corretas e submeta
Resultado esperado: Redirecionamento para areaRestrita.jsp com acesso permitido
3
Teste 3: Login com credenciais inválidas
Preencha o formulário com credenciais incorretas e submeta
Resultado esperado: Redirecionamento de volta para login.jsp com mensagem de erro
4
Teste 4: Logout
Após login bem-sucedido, clique no link/botão de logout
Resultado esperado: Redirecionamento para página inicial ou login, e tentativas posteriores de acessar áreas restritas devem exigir novo login
Erros Comuns e Soluções
1
Sessão expira muito rápido
Sintoma: Usuários são desconectados mesmo durante uso ativo do sistema
Solução: Verifique a configuração de session.setMaxInactiveInterval() ou a configuração no web.xml. Aumente o tempo conforme necessário.
2
Sessão não é criada
Sintoma: Atributos da sessão não persistem entre requisições
Solução: Verifique se cookies estão habilitados no navegador. Certifique-se de chamar request.getSession() antes de tentar usar a sessão.
3
Redirecionamento em loop
Sintoma: Navegador alterna repetidamente entre páginas sem parar
Solução: Verifique a lógica de redirecionamento no filtro ou servlet. Certifique-se de que há uma condição clara para parar o redirecionamento.
4
Dados da sessão perdidos após redirecionamento
Sintoma: Informações armazenadas na sessão desaparecem após response.sendRedirect()
Solução: Certifique-se de armazenar os dados na sessão antes de chamar o redirecionamento. Verifique se não está invalidando a sessão acidentalmente.
Debugging: Acompanhando Sessão via JSESSIONID
As ferramentas de desenvolvedor do navegador são essenciais para debugar problemas de sessão. Aprenda a monitorar o cookie JSESSIONID:
  1. Abra as ferramentas de desenvolvedor (F12 na maioria dos navegadores)
  1. Navegue até a aba "Application" (Chrome) ou "Storage" (Firefox)
  1. Expanda "Cookies" e selecione o domínio da sua aplicação
  1. Localize o cookie JSESSIONID e observe seu valor
O valor do JSESSIONID deve permanecer o mesmo durante toda a sessão. Se ele mudar após um redirecionamento, isso indica que uma nova sessão foi criada, possivelmente perdendo os dados armazenados anteriormente.
Você também pode imprimir informações úteis da sessão em uma página JSP para debugging:
<h3>Informações da Sessão (Debug)</h3>
<p>ID da Sessão: <%= session.getId() %></p>
<p>Criada em: <%= new java.util.Date(session.getCreationTime()) %></p>
<p>Último acesso: <%= new java.util.Date(session.getLastAccessedTime()) %></p>
<p>Tempo máximo inativo: <%= session.getMaxInactiveInterval() %> segundos</p>
<p>Usuário logado: <%= session.getAttribute("usuarioLogado") %></p>
Personalização de Mensagens
Fornecer feedback claro aos usuários melhora significativamente a experiência. Implemente mensagens contextuais para diferentes situações:
<!-- No login.jsp -->
<% 
   String mensagem = "";
   String tipo = "";
   
   if (request.getParameter("erro") != null) {
       String erro = request.getParameter("erro");
       
       if ("credenciais".equals(erro)) {
           mensagem = "Usuário ou senha inválidos. Tente novamente.";
           tipo = "erro";
       } else if ("sessao".equals(erro)) {
           mensagem = "Sua sessão expirou por inatividade. Por favor, faça login novamente.";
           tipo = "aviso";
       } else if ("acesso".equals(erro)) {
           mensagem = "Você precisa fazer login para acessar esta página.";
           tipo = "info";
       } else if ("logout".equals(erro)) {
           mensagem = "Você saiu do sistema com sucesso.";
           tipo = "sucesso";
       }
   }
%>

<% if (!mensagem.isEmpty()) { %>
    <div class="mensagem <%= tipo %>">
        <%= mensagem %>
    </div>
<% } %>
Quando redirecionar, inclua o parâmetro apropriado: response.sendRedirect("login.jsp?erro=sessao");
Checklist de Implementação
Formulário de Login
Criar página JSP com formulário de login usando método POST e campos para usuário e senha
LoginServlet
Implementar servlet para processar requisições de login, validar credenciais e criar sessão
Gerenciamento de Sessão
Armazenar dados do usuário na sessão e configurar tempo de expiração adequado
Logout
Implementar LogoutServlet para invalidar sessão e redirecionar usuário
Controle de Acesso
Criar filtro para proteger páginas restritas e verificar autenticação
6
6
Integração JDBC
Substituir validação hardcoded por consulta ao banco de dados com PreparedStatement
Use esta lista para verificar se sua implementação de autenticação contém todos os elementos essenciais. Uma implementação robusta deve incluir todos estes componentes adequadamente integrados.
Práticas Avançadas (extra)
Integração com Frameworks de Autenticação
Para aplicações mais complexas, considere usar frameworks dedicados como Spring Security, que oferecem recursos avançados:
  • Autenticação por múltiplos provedores (BD, LDAP, OAuth)
  • Proteção contra ataques comuns (CSRF, XSS)
  • Gerenciamento de sessão avançado
  • Criptografia de senha integrada
  • Configuração declarativa de segurança
Autorização por Perfil/Role
Implemente um sistema de controle de acesso baseado em papéis (RBAC):
// Verificar se usuário tem permissão específica
if (session.getAttribute("perfil") != null &&
    "ADMIN".equals(session.getAttribute("perfil"))) {
    // Mostrar funcionalidades de administrador
} else {
    // Esconder ou desabilitar funcionalidades restritas
}
Isso permite diferentes níveis de acesso baseados no perfil do usuário (admin, gerente, operador, etc), com um controle granular sobre quais recursos cada perfil pode acessar.
Resumo e Próximos Passos
Conceitos Fundamentais
Nesta aula, aprendemos que sessões HTTP são essenciais para superar a natureza stateless do protocolo HTTP, permitindo a identificação de usuários entre requisições. Vimos como criar, gerenciar e encerrar sessões usando a API HttpSession do Java.
Autenticação e Controle de Acesso
Implementamos um sistema completo de autenticação com formulário de login, servlet para processamento, armazenamento de estado na sessão e filtro para proteção de recursos. Também aprendemos a integrar a validação com banco de dados usando JDBC.
Segurança e Boas Práticas
Discutimos importantes considerações de segurança como armazenamento seguro de senhas, proteção contra session fixation, tempos adequados de expiração e cuidados com os dados armazenados na sessão.
Nos próximos módulos, exploraremos tópicos mais avançados como autorização baseada em papéis, integração com provedores de identidade externos (OAuth, OIDC) e técnicas de segurança para prevenir ataques comuns como CSRF e XSS.