HTTP como protocolo no tiene estado. RFC 2965 define el mecanismo de estado para HTTP (cookies), pero también existe el concepto de sesiones HTTP. Las cookies se utilizan para rastrear la sesión del usuario (usando identificadores de sesión), pero el contenido real de las variables de sesión se almacena en el servidor. Lenguajes como JSP, ASP y PHP incluyen un mecanismo de sesión para mantener sesiones HTTP.
Me preguntaba, ¿hay un RFC o estándar que defina cómo se deben implementar las sesiones HTTP? Después de todo, JSP, ASP y PHP implementan sesiones HTTP de la misma manera.
Respuestas:
Perdón por responder mi propia pregunta, pero como suele pasar, pasas mucho tiempo tratando de descubrir algo por ti mismo y cuando finalmente le preguntas a alguien más, ese es el punto en el que encuentras la respuesta tú mismo.
El RFC original para cookies es 2109, que fue reemplazado por 2965, que a su vez fue reemplazado por RFC6265. RFC6265 habla sobre sesiones e identificadores de sesión.
http://tools.ietf.org/html/rfc6265
fuente
También es posible que desee ver http://tools.ietf.org/html/rfc6896, que ofrece más detalles que los "Servidores de RFC6265 DEBEN cifrar y firmar el contenido de las cookies (utilizando el formato que el servidor desee)"
Más información sobre el uso de cookies para sesiones seguras: http://www2.imm.dtu.dk/pubdb/views/edoc_download.php/6062/pdf/imm6062.pdf http://nordsecmob.aalto.fi/en/publications /theses_2011/thesis_nazmul.pdf http://www.cl.cam.ac.uk/~sjm217/papers/protocols08cookies.pdf
fuente