← Tüm terimler
Oturum Yönetimi

Oturum yönetimi nedir?

Oturum yönetimi; kimliği doğrulanmış oturumların oluşturulmasını, sürdürülmesini, zaman aşımını ve iptalini denetleyerek girişin sonrasını da güvenli tutar.

Son güncelleme: 15 Temmuz 2026

Oturum yönetimi nasıl çalışır

Kimlik doğrulama bir kez yapılır ama ortaya çıkan oturum dakikalarca, saatlerce veya günlerce yaşar. Başarılı bir girişten sonra sunucu, çerezde saklanan bir oturum tanımlayıcısı ya da modern jeton tabanlı mimarilerde bir jeton kümesi üretir; sonraki her istek kimlik bilgileri yerine bu kanıtı sunar. Oturum yönetimi, bu yapıyı yöneten her şeydir: tahmin edilemez biçimde üretmek, aktarımda ve saklamada korumak ve ne zaman geçersiz kalacağına karar vermek.

Ömürler iki zamanlayıcıyla denetlenir. Boşta kalma zaman aşımı, belirli bir hareketsizlik süresinden sonra oturumu bitirir; mutlak zaman aşımı ise etkinlikten bağımsız olarak toplam oturum süresini sınırlar. Federasyonlu ortamlarda tablo katmanlıdır: kimlik sağlayıcı merkezi bir oturum tutarken her uygulama kendi oturumunu tutar ve kullanıcıların gerçekten ne sıklıkla yeniden doğrulama yapacağını IdP düzeyindeki politikalar belirler.

Oturum yönetimi neden önemli

Çalınan bir oturum, çalınan bir parola kadar değerlidir; saldırgan için çoğu zaman daha da değerlidir, çünkü zaten karşılanmış olan MFA'yı sessizce atlar. Sızan çerezler, siteler arası betik çalıştırma veya bilgi hırsızı zararlılarla yapılan oturum kaçırma, kurumlar giriş adımını sağlamlaştırıp oturum adımını yumuşak bıraktığı için başlıca saldırı tekniklerinden biri haline gelmiştir.

Zayıf oturum disiplini diğer tüm kimlik kontrollerini de zayıflatır. Ayrılan bir çalışanın hesabını kapatmak, mevcut oturumları günlerce çalışmaya devam ediyorsa pek bir şey ifade etmez; yalnızca girişte değerlendirilen koşullu erişim de oturum ortasında risk değiştiğinde tepki veremez. Sağlıklı ömürler, iptal ve yeniden değerlendirme, anlık kimlik doğrulamayı sürekli güvenceye dönüştüren unsurlardır.

Uygulamada oturum yönetimi

Temel hijyen iyi bilinir: Secure, HttpOnly ve SameSite işaretli çerezler; oturum sabitlemeyi önlemek için girişten sonra yeniden üretilen oturum tanımlayıcıları; uygulamanın hassasiyetine göre ayarlanmış boşta kalma ve mutlak zaman aşımları. Jeton tabanlı sistemler buna kısa erişim jetonu ömürleriyle iptal edilebilir yenileme jetonlarını ekler; böylece sızan bir erişim jetonu hızla dolar, uzun ömürlü durum ise sunucu denetiminde kalır.

Operasyonel tarafta yöneticilerin görünürlüğe ve bir acil kapatma düğmesine ihtiyacı vardır: kullanıcı başına etkin oturumların görünümü ve işten çıkışta veya olay müdahalesinde bunların tümünü iptal edebilme. İptali tek oturum kapatmayla eşleştirmek, sonlandırmayı bağlı uygulamalara da yayar. Monosign, yöneticilerin oturum ömrü ve yeniden doğrulama politikalarını merkezden tanımlamasına ve kullanıcının bağlı uygulamalardaki etkin oturumlarını sonlandırmasına olanak verir.

Sık sorulan sorular

Bir oturum ne kadar sürmeli?
Hassasiyete bağlıdır. Tüketici uygulamaları kolaylık için genellikle günlerce süren oturumlara izin verirken, yönetici panelleri ve finansal sistemler dakikalarla ölçülen boşta kalma süreleri ve saatlerle sınırlı mutlak limitler kullanır. Ölçeklenen desen, tek bir uzun yekpare oturum yerine politikayla denetlenen yenilemeye sahip kısa erişim jetonlarıdır.
Oturum kaçırma nedir ve nasıl önlenir?
Oturum kaçırma, geçerli bir oturum çerezini veya jetonunu çalıp saldırganın makinesinden tekrar kullanmaktır. Savunmalar arasında her yerde TLS, HttpOnly ve SameSite çerezler, kısa ömürler, oturumları cihaz sinyallerine bağlamak ve hassas işlemlerden önce kademeli doğrulamayla yeniden sorgulamak yer alır.
Tarayıcıyı kapatmak oturumumu bitirir mi?
Şart değil. Kalıcı çerezler ve yenileme jetonları tasarım gereği tarayıcı yeniden başlatmalarından etkilenmez; "oturumumu açık tut" özelliği böyle çalışır. Bir oturum ancak politika gereği süresi dolduğunda veya sunucuda iptal edildiğinde gerçekten biter; sunucu taraflı zaman aşımı ve iptalin istemci davranışından daha önemli olmasının nedeni budur.