Session Store Aman: Rotasi ID, TTL, dan Deteksi Reuse Token

Session store aman tidak cukup hanya menyimpan session di Redis atau database. Masalah utama biasanya muncul saat aplikasi tidak merotasi session ID setelah login, tidak membedakan TTL idle dan absolute, tidak bisa mendeteksi reuse token, atau tidak memiliki mekanisme revocation yang konsisten di banyak node aplikasi.

Jika tujuan Anda adalah mengurangi risiko session fixation, session hijacking, dan token/session reuse, desain yang aman umumnya mencakup: rotasi identifier pada momen sensitif, masa berlaku yang jelas, metadata yang cukup untuk analisis anomali tanpa melanggar privasi, serta invalidasi yang bisa dipropagasikan lintas instance. Di artikel ini kita fokus pada implementasi server-side yang realistis untuk aplikasi web dan API.

Model ancaman yang perlu dihadapi

Sebelum memilih struktur data atau middleware, tentukan ancaman yang memang relevan. Beberapa yang paling umum:

• Session fixation: penyerang membuat korban memakai session ID yang sudah diketahui penyerang, lalu korban login memakai session itu.
• Session hijacking: session ID atau refresh token dicuri, misalnya lewat malware, XSS, log yang bocor, atau transport yang tidak aman.
• Reuse token: refresh token lama dipakai lagi setelah sudah dirotasi. Ini indikasi kuat bahwa token bocor atau dipakai dari dua pihak.
• Revocation lemah: logout hanya menghapus cookie di browser, tetapi session di server masih valid. Pada arsitektur multi-node, node lain mungkin tetap menerima token lama.

Konsekuensinya bukan hanya akses ilegal, tetapi juga kesulitan melakukan forensik dan containment. Karena itu, session store harus dirancang sebagai komponen keamanan, bukan sekadar cache login.

Prinsip desain session server-side yang aman

1. Gunakan session ID acak, tidak bermakna, dan cukup panjang

Session ID sebaiknya berupa nilai acak dari CSPRNG, bukan hasil encode data pengguna, bukan urutan, dan bukan gabungan email atau timestamp. Session ID idealnya hanya menjadi pointer ke state di server.

Ini penting karena jika session ID dapat ditebak, semua kontrol lain menjadi kurang berarti. Hindari juga memasukkan data sensitif langsung ke token sesi bila Anda tidak benar-benar membutuhkan token stateless.

2. Rotasi session ID pada momen sensitif

Rotasi session ID adalah kontrol inti untuk mencegah session fixation. Minimal lakukan rotasi pada kondisi berikut:

• Setelah login berhasil.
• Setelah perubahan privilege, misalnya user menjadi admin atau berpindah tenant/role yang lebih tinggi.
• Setelah verifikasi MFA, bila sesi sebelum MFA memiliki hak terbatas.
• Setelah pemulihan sesi yang berasal dari token refresh baru.

Jangan hanya memperbarui field di record session lama. Buat identifier baru, salin state yang aman untuk dipertahankan, lalu invalidasi identifier lama. Jika tidak, attacker yang mengetahui ID lama masih bisa mencoba memakainya.

3. Pisahkan TTL idle dan TTL absolute

Idle TTL membatasi berapa lama sesi boleh tidak aktif. Absolute TTL membatasi umur maksimum sesi, walaupun user terus aktif. Keduanya memiliki fungsi berbeda:

• Idle TTL mengurangi risiko jika perangkat ditinggalkan atau cookie dicuri tetapi tidak segera dipakai.
• Absolute TTL membatasi sesi berkepanjangan yang sulit dicabut dan mengurangi dampak pencurian jangka panjang.

Kesalahan yang sering terjadi adalah hanya memakai TTL Redis biasa dan menganggap itu cukup. Padahal Anda tetap perlu menyimpan issued_at, last_seen_at, dan memvalidasi absolute expiry di level aplikasi.

4. Simpan metadata seperlunya, bukan fingerprint agresif

Menyimpan metadata perangkat atau jaringan bisa membantu deteksi anomali, tetapi jangan bergantung pada fingerprint yang rapuh. Informasi yang biasanya cukup aman dan berguna:

• User ID.
• Session ID dan/atau family ID.
• Waktu dibuat, waktu terakhir aktif, waktu berakhir absolute.
• Hash refresh token atau token nonce.
• Ringkasan user-agent yang dinormalisasi.
• Alamat IP terakhir atau subnet secara hati-hati.
• Status revoked, revoked reason, dan parent session/token.

Jangan memblokir session hanya karena IP berubah, terutama untuk jaringan seluler, VPN perusahaan, atau user yang berpindah jaringan. Metadata lebih tepat dipakai sebagai sinyal risiko daripada syarat validitas tunggal.

Struktur data session di Redis atau database

Redis cocok untuk validasi cepat dan TTL native. Database relasional cocok untuk audit, query analitik, dan konsistensi yang lebih eksplisit. Dalam praktiknya, banyak sistem memakai kombinasi keduanya: Redis untuk hot path, database untuk audit dan sinkronisasi revocation.

Contoh struktur data session

Berikut contoh struktur logis yang bisa disimpan di Redis sebagai JSON atau hash, dan dicerminkan ke database untuk audit:

key: sess:{session_id}

{
  "session_id": "s_8f4...",
  "user_id": "u_123",
  "family_id": "sf_456",
  "issued_at": 1710000000,
  "last_seen_at": 1710001200,
  "idle_expires_at": 1710003000,
  "absolute_expires_at": 1710600000,
  "auth_level": "authenticated",
  "mfa_level": "verified",
  "ua_hash": "...",
  "ip_last": "203.0.113.10",
  "revoked_at": null,
  "revoked_reason": null,
  "version": 7
}

Untuk refresh token rotation, gunakan record terpisah agar riwayat rotasi bisa ditelusuri:

key: rt:{token_id}

{
  "token_id": "rt_abc",
  "family_id": "rf_999",
  "session_id": "s_8f4...",
  "user_id": "u_123",
  "issued_at": 1710000000,
  "expires_at": 1710600000,
  "used_at": null,
  "replaced_by": null,
  "revoked_at": null,
  "parent_token_id": null,
  "token_hash": "sha256(...)"
}

Catatan penting: untuk refresh token, simpan hash-nya, bukan token mentah. Jika storage bocor, attacker tidak langsung mendapatkan token yang masih valid.

Jika Anda menggunakan Redis saja, pikirkan juga strategi persistensi dan pemulihan. Session store yang hilang total saat restart bisa memaksa semua user login ulang. Itu kadang bisa diterima, kadang tidak.

Rotasi session ID dan token: alur yang disarankan

Alur login aman

1. User mengakses aplikasi sebagai tamu, mungkin sudah memiliki anonymous session.
2. Setelah kredensial valid, jangan upgrade session lama di tempat.
3. Buat session ID baru dengan konteks user terautentikasi.
4. Pindahkan data yang aman untuk dipertahankan, misalnya preference non-sensitif atau CSRF state yang masih relevan.
5. Invalidasi session pra-login.
6. Set cookie session baru dengan flag yang benar.

Dengan alur ini, session fixation menjadi jauh lebih sulit karena ID yang ada sebelum login tidak lagi berlaku setelah user terautentikasi.

Alur perubahan privilege

Misalnya user membuka fitur admin setelah step-up authentication. Jangan hanya menaikkan field role=admin di session yang sama. Buat session baru atau naikkan versi sesi dengan identifier baru, lalu cabut yang lama. Ini membatasi dampak bila identifier sebelumnya sudah bocor.

Alur refresh token rotation dengan deteksi reuse

Untuk aplikasi API atau SPA yang memakai access token jangka pendek dan refresh token, gunakan model one-time refresh token. Setiap kali refresh berhasil:

1. Client mengirim refresh token saat ini.
2. Server mencari record berdasarkan hash token.
3. Jika token tidak ditemukan, sudah revoked, expired, atau used_at sudah terisi, anggap sebagai penggunaan tidak valid.
4. Jika valid, tandai token lama sebagai used/replaced.
5. Terbitkan access token baru dan refresh token baru.
6. Simpan relasi replaced_by agar rantai token bisa diaudit.

Deteksi reuse terjadi saat token yang sudah pernah dipakai muncul lagi. Itu biasanya berarti salah satu dari dua hal:

• Client race condition atau retry yang buruk.
• Token dicuri lalu dipakai pihak lain.

Respons yang aman sering kali adalah merevoke seluruh token family atau session family, bukan hanya token yang terdeteksi. Jika reuse benar-benar berasal dari pencurian, attacker mungkin sudah memegang token baru hasil rotasi sebelumnya.

Pseudocode middleware validasi session

Contoh berikut menunjukkan logika inti yang lazim dipakai di backend. Ini bukan kode framework tertentu, tetapi cukup dekat dengan implementasi nyata.

function validateSession(request):
    sid = readSessionCookie(request)
    if sid is null:
        return unauthorized()

    session = store.get("sess:" + sid)
    if session is null:
        return unauthorized()

    now = currentUnixTime()

    if session.revoked_at is not null:
        return unauthorized("session revoked")

    if now > session.absolute_expires_at:
        revokeSession(session.session_id, "absolute expired")
        return unauthorized("session expired")

    if now > session.idle_expires_at:
        revokeSession(session.session_id, "idle expired")
        return unauthorized("session idle expired")

    risk = 0

    if normalizedUserAgentHash(request) != session.ua_hash:
        risk += 1

    if ipChangedSignificantly(request.ip, session.ip_last):
        risk += 1

    if risk >= 2:
        markSessionSuspicious(session.session_id)
        return unauthorized("re-auth required")

    session.last_seen_at = now
    session.idle_expires_at = now + IDLE_TTL_SECONDS
    session.ip_last = request.ip
    store.saveWithTtl("sess:" + sid, session, ttlUntil(session.idle_expires_at))

    attachUserToRequest(request, session.user_id, session.auth_level)
    return next()

Ada dua detail yang sering terlewat:

• Absolute expiry harus tetap divalidasi di aplikasi, walaupun Redis key masih ada.
• Pembaruan last_seen_at sebaiknya tidak dilakukan terlalu agresif pada setiap request jika traffic sangat tinggi. Anda bisa menambahkan touch window, misalnya hanya update jika selisih waktu tertentu terlewati.

Deteksi reuse token yang benar-benar berguna

Reuse detection sering dibahas, tetapi implementasinya mudah salah. Beberapa prinsip penting:

1. Tandai token sebagai sekali pakai

Refresh token yang sudah sukses dipakai harus ditandai sebagai consumed. Jika token lama masih bisa dipakai beberapa kali selama race kecil, Anda membuka celah replay.

2. Gunakan operasi atomik

Di Redis, manfaatkan transaksi, Lua script, atau mekanisme atomik setempat. Di database, pakai transaksi dan constraint yang mencegah dua proses mengonsumsi token yang sama secara bersamaan. Tanpa ini, dua request refresh paralel bisa sama-sama lolos.

3. Bedakan reuse jahat vs race condition, tetapi tetap aman

Pada client mobile atau browser yang retry otomatis, request ganda bisa terjadi. Namun dari perspektif server, token lama yang muncul kembali tetap harus dianggap sinyal berbahaya. Praktik yang umum:

• Jika refresh token lama dipakai ulang setelah sudah diganti, tandai sebagai reuse.
• Revoke seluruh token family untuk user/device itu.
• Paksa login ulang atau step-up auth sesuai tingkat risiko.
• Catat event audit agar bisa dianalisis.

Jika Anda terlalu permisif terhadap token reuse, penyerang bisa tetap mempertahankan sesi walau token sudah dirotasi.

4. Simpan family ID

family_id memudahkan invalidasi berantai. Saat satu token dalam keluarga terdeteksi reuse, Anda bisa merevoke semua turunan yang terkait dengan perangkat atau sesi itu tanpa memutus semua sesi user di perangkat lain.

Logout global dan invalidasi lintas node

Pada arsitektur multi-instance, masalah utamanya bukan membuat flag revoked=true, melainkan memastikan semua node berhenti menerima sesi yang sama dalam waktu singkat.

Pola yang umum dipakai

• Centralized session store: semua node membaca dari Redis atau DB yang sama. Ini paling sederhana untuk validasi sinkron.
• Revocation event: ketika session dicabut, kirim event ke pub/sub atau message broker agar cache lokal tiap node dibersihkan.
• Session versioning: simpan versi sesi atau versi user-session. Token yang membawa versi lama ditolak.
• User-wide logout timestamp: cocok untuk logout global cepat, misalnya semua sesi dengan issued_at sebelum timestamp tertentu dianggap tidak valid.

Contoh strategi logout global

1. User menekan “logout dari semua perangkat”.
2. Backend menulis user_revoked_after = now untuk user tersebut di storage terpusat.
3. Semua session/token dengan issued_at <= user_revoked_after ditolak.
4. Opsional: publish event untuk membersihkan cache lokal.

Pendekatan ini praktis karena Anda tidak perlu langsung memindai dan menghapus jutaan key session. Namun middleware harus selalu memeriksa timestamp revocation tersebut, idealnya lewat cache yang konsisten dan singkat umur simpannya.

Jika Anda memakai cache lokal per node untuk mempercepat validasi session, siapkan strategi cache busting. Tanpa itu, revocation bisa terlambat diterapkan dan menjadi celah keamanan.

Checklist cookie dan session flag

Untuk aplikasi web berbasis cookie, hardening session store harus dibarengi dengan atribut cookie yang tepat:

• HttpOnly: mencegah JavaScript membaca cookie session secara langsung.
• Secure: hanya kirim lewat HTTPS.
• SameSite: gunakan mode yang sesuai. Lax sering cukup untuk aplikasi web biasa; Strict lebih ketat tetapi bisa mengganggu alur tertentu; None harus disertai Secure.
• Path dan Domain dibatasi seminimal mungkin.
• Max-Age/Expires konsisten dengan kebijakan idle/absolute yang Anda terapkan, tanpa mengandalkan cookie expiry saja sebagai sumber kebenaran.

Untuk API yang memakai bearer token di header, prinsip penyimpanannya di sisi client juga penting, tetapi di sisi server Anda tetap perlu revocation, TTL, rotation, dan reuse detection yang kuat.

Trade-off performa, UX, dan kompleksitas operasional

Redis vs database relasional

• Redis: validasi cepat, TTL natural, bagus untuk traffic tinggi. Kekurangannya adalah kebutuhan persistensi, pengelolaan memori, dan query audit yang terbatas.
• Database relasional: audit dan transaksi jelas, mudah dianalisis. Kekurangannya adalah latensi lebih tinggi untuk hot path jika tidak dibantu cache.

Untuk banyak sistem, kombinasi keduanya masuk akal: Redis sebagai sumber validasi online, DB sebagai catatan audit dan fallback.

TTL pendek vs kenyamanan user

• Idle TTL pendek meningkatkan keamanan, tetapi user lebih sering logout otomatis.
• Absolute TTL panjang mengurangi friksi, tetapi memperpanjang dampak jika token dicuri.

Pilih berdasarkan risiko aplikasi. Panel admin internal, dashboard keuangan, dan sistem enterprise biasanya membutuhkan kebijakan lebih ketat dibanding portal konten biasa.

Metadata ketat vs false positive

Mengikat sesi ke IP atau user-agent secara keras bisa memutus user sah yang berpindah jaringan, browser update, atau berada di belakang proxy. Gunakan metadata sebagai sinyal adaptif, bukan aturan mutlak, kecuali untuk lingkungan yang sangat terkontrol.

Invalidasi real-time vs kompleksitas operasional

Pub/sub, event bus, dan cache lokal mempercepat sistem, tetapi menambah kompleksitas. Jika kebutuhan keamanan tinggi, utamakan kebenaran revocation daripada optimasi dini. Sistem sederhana dengan satu sumber validasi terpusat sering lebih aman daripada cache berlapis yang sulit disinkronkan.

Kesalahan implementasi yang sering terjadi

• Tidak merotasi session ID setelah login atau step-up authentication.
• Menghapus cookie di browser saat logout, tetapi tidak mencabut session server-side.
• Hanya mengandalkan TTL Redis tanpa absolute expiry di level aplikasi.
• Menyimpan refresh token mentah alih-alih hash.
• Tidak memakai operasi atomik saat rotation, sehingga request paralel sama-sama sukses.
• Mengikat session terlalu keras ke IP dan menghasilkan banyak false positive.
• Menganggap reuse token sebagai error biasa, bukan sinyal compromise.
• Tidak punya mekanisme invalidasi lintas node.

Tips debugging dan observability

Hardening session akan sulit dipelihara tanpa observability. Minimal log event berikut dengan korelasi yang baik:

• Session dibuat, dirotasi, direvoke, dan expired.
• Refresh token dipakai, diganti, atau terdeteksi reuse.
• Logout per sesi dan logout global.
• Mismatch metadata yang melewati ambang risiko.

Pastikan log tidak mencetak session ID atau refresh token mentah. Jika perlu, log hanya sebagian prefix atau hash-nya. Untuk debugging race condition refresh token, catat request_id, token_id, family_id, dan hasil transaksi atomik.

Checklist implementasi praktis

• Session ID dibuat dari CSPRNG dan tidak memuat data user.
• Rotasi session ID setelah login, MFA, dan perubahan privilege.
• Idle TTL dan absolute TTL diterapkan terpisah.
• Refresh token bersifat sekali pakai dan disimpan dalam bentuk hash.
• Setiap rotation dilakukan atomik.
• Reuse token memicu revocation token family atau session family yang relevan.
• Logout server-side benar-benar mencabut session, bukan hanya menghapus cookie.
• Logout global didukung dengan timestamp revocation atau indeks family.
• Semua node aplikasi membaca status revocation yang konsisten.
• Cookie memakai HttpOnly, Secure, SameSite, dan scope minimal.
• Metadata perangkat/IP disimpan secukupnya sebagai sinyal risiko, bukan pengunci mutlak.
• Audit log tersedia tanpa menyimpan token mentah.

Penutup

Session Store Aman: Rotasi ID, TTL, dan Deteksi Reuse Token pada dasarnya adalah soal membatasi dampak kebocoran dan memastikan revocation benar-benar berlaku. Rotasi session ID mencegah fixation, idle dan absolute TTL membatasi umur sesi, reuse detection membantu menemukan kompromi token, dan invalidasi lintas node memastikan logout atau revocation tidak berhenti di satu instance saja.

Jika Anda harus memulai dari langkah yang paling berdampak, urutannya biasanya: rotasi ID setelah login, revocation server-side yang nyata, idle + absolute TTL, lalu one-time refresh token dengan deteksi reuse. Kombinasi ini sudah menutup sebagian besar kelemahan umum pada session management modern.