Lo que el cliente realmente almacena es el conjunto de parámetros de seguridad , cuya parte más importante es el maestro secreto : este es el valor secreto compartido con el servidor. obtenido de un apretón de manos anterior. El ID de sesión o el ticket de sesión es solo un valor que se usa para hacer referencia a ese secreto maestro (*).
El secreto maestro es muy sensible (saber que permite descifrar todos los datos de la sesión ...) por lo que se supone que el cliente debe tener mucho cuidado con él. En la práctica, el cliente lo almacena solo en RAM; no lo encontrará en ningún archivo, y desaparece cuando finaliza el proceso del cliente (la terminación del proceso, en el caso de los navegadores web, en su mayoría equivale a cerrar todas las ventanas del navegador). El ID de la sesión y los tickets se almacenan junto con el secreto maestro, en el mismo emplazamiento, ya que no tienen sentido sin ese secreto maestro.
(En los navegadores web modernos, generalmente hay un proceso varios , pero se hablan entre sí, por lo que, para esta discusión, se pueden considerar juntos como "el proceso del navegador".)
En el lado del servidor, el almacenamiento basado en RAM también es común, pero algunos servidores permiten el almacenamiento en una base de datos o en algún otro mecanismo para que el secreto maestro pueda ser compartido entre varios front-end. Esto es necesario para algunos tipos de mecanismos de balanceo de carga. Por supuesto, escribir el secreto maestro en cualquier medio físico es una fuente potencial de fugas, por lo que este tipo de juego se realizará solo con gran cuidado.
(*) Bueno, el ticket de la sesión es algo más complejo que eso, pero la esencia de la idea sigue siendo válida: para el cliente, el secreto principal está fuera de ticket de sesión.