. Es necesario que la sesión se invalide, por lo que, después de cerrar la sesión, no se puede acceder a los recursos protegidos. ¿Pero por qué debería querer cambiar el ID de sesión? ¿Defensa en profundidad?
El ID de sesión en sí puede verse como una parte de información privada que se asoció con la sesión del usuario autenticado. Borrar esta ID del lado del cliente garantiza que este valor privado ya no esté disponible.
Sí, es un tipo de defensa en profundidad, ya que podrá verificar desde el lado del cliente que la sesión ha cambiado, lo que implicaría que el servidor no sabe nada más sobre la sesión actual (es decir, no está vinculado a ninguna cuenta de usuario o tiene datos privados, etc). Si estaba revisando una aplicación según el estándar ASVS y notó que la ID de sesión había cambiado al cerrar la sesión, puede estar bastante seguro de que todos los datos de la sesión se han borrado y ya no están disponibles desde el cliente. Sí, técnicamente es posible codificar un sistema para migrar cualquier información de sesión a la nueva sesión, pero como no hay una razón real para hacerlo, es una buena medida de la calidad del manejo de la sesión de la aplicación.
Además, el envío de la ID antigua se puede realizar como parte de las pruebas para garantizar que ya no se reconozca como una sesión autorizada.