{"id":2072,"date":"2026-06-24T15:41:51","date_gmt":"2026-06-24T18:41:51","guid":{"rendered":"https:\/\/desvendandoocodigo.com.br\/?p=2072"},"modified":"2026-06-24T15:58:50","modified_gmt":"2026-06-24T18:58:50","slug":"como-os-sites-sabem-que-voce-esta-logado-session-e-cookies-na-pratica","status":"publish","type":"post","link":"https:\/\/desvendandoocodigo.com.br\/?p=2072","title":{"rendered":"Como os Sites Sabem Que Voc\u00ea Est\u00e1 Logado? Session e Cookies na Pr\u00e1tica"},"content":{"rendered":"\n

Quando voc\u00ea faz login em um site, fecha uma p\u00e1gina e continua navegando normalmente, algo precisa informar ao sistema que voc\u00ea j\u00e1 foi autenticado.<\/p>\n\n\n\n

Mas como isso acontece?<\/p>\n\n\n\n

Como o servidor sabe que voc\u00ea \u00e9 voc\u00ea em cada nova requisi\u00e7\u00e3o?<\/p>\n\n\n\n

Muitos iniciantes imaginam que o navegador envia usu\u00e1rio e senha o tempo todo, mas n\u00e3o \u00e9 assim que funciona.<\/p>\n\n\n\n

Neste artigo vamos entender como Session e Cookies trabalham juntos para permitir autentica\u00e7\u00e3o em aplica\u00e7\u00f5es Node.js utilizando Express Session.<\/p>\n\n\n\n

\n\n\n\n

O problema que precisa ser resolvido<\/h2>\n\n\n\n

HTTP \u00e9 um protocolo sem estado (stateless).<\/p>\n\n\n\n

Isso significa que cada requisi\u00e7\u00e3o enviada ao servidor \u00e9 independente da anterior.<\/p>\n\n\n\n

Imagine o seguinte cen\u00e1rio:<\/p>\n\n\n\n

    \n
  1. Voc\u00ea faz login.<\/li>\n\n\n\n
  2. O servidor valida suas credenciais.<\/li>\n\n\n\n
  3. Voc\u00ea acessa outra p\u00e1gina.<\/li>\n<\/ol>\n\n\n\n

    Como o servidor sabe que aquele usu\u00e1rio j\u00e1 fez login anteriormente?<\/p>\n\n\n\n

    Se nada fosse armazenado, o sistema pediria autentica\u00e7\u00e3o a cada clique.<\/p>\n\n\n\n

    \u00c9 justamente a\u00ed que entram as Sessions e os Cookies.<\/p>\n\n\n\n

    \n\n\n\n

    O que \u00e9 uma Session?<\/h2>\n\n\n\n

    A Session \u00e9 um espa\u00e7o de armazenamento mantido pelo servidor.<\/p>\n\n\n\n

    Ap\u00f3s o login, o servidor cria uma sess\u00e3o contendo informa\u00e7\u00f5es importantes do usu\u00e1rio.<\/p>\n\n\n\n

    Por exemplo:<\/p>\n\n\n\n

    req.session.usuario = {\n    id: 1,\n    nome: \"Administrador\",\n    email: \"admin@email.com\"\n};\n<\/code><\/pre>\n\n\n\n
    Esses dados permanecem no servidor.<\/p>\n\n\n\n
    O navegador n\u00e3o recebe essas informa\u00e7\u00f5es diretamente.<\/p>\n\n\n\n
    \n\n\n\n
    O que \u00e9 um Cookie?<\/h2>\n\n\n\n
    O Cookie funciona como uma identifica\u00e7\u00e3o.<\/p>\n\n\n\n
    Em vez de enviar todos os dados do usu\u00e1rio para o navegador, o servidor envia apenas um identificador \u00fanico.<\/p>\n\n\n\n
    Algo parecido com isto:<\/p>\n\n\n\n
    connect.sid=abc123xyz\n<\/code><\/pre>\n\n\n\n
    Esse valor \u00e9 armazenado no navegador.<\/p>\n\n\n\n
    Sempre que uma nova requisi\u00e7\u00e3o \u00e9 feita, o navegador envia automaticamente esse identificador.<\/p>\n\n\n\n
    O servidor recebe o identificador e procura a sess\u00e3o correspondente.<\/p>\n\n\n\n
    Se encontrar, sabe exatamente qual usu\u00e1rio est\u00e1 realizando a requisi\u00e7\u00e3o.<\/p>\n\n\n\n
    \n\n\n\n
    Pensando de forma simples<\/h2>\n\n\n\n
    Imagine um guarda-volumes.<\/p>\n\n\n\n
    O servidor guarda todos os seus objetos.<\/p>\n\n\n\n
    Voc\u00ea recebe apenas uma chave.<\/p>\n\n\n\n
    Quando retorna, apresenta a chave e recupera seus dados.<\/p>\n\n\n\n
    A Session \u00e9 o guarda-volumes.<\/p>\n\n\n\n
    O Cookie \u00e9 a chave.<\/p>\n\n\n\n
    \n\n\n\n
    Configurando Session no Node.js<\/h2>\n\n\n\n
    No projeto utilizamos o middleware Express Session.<\/p>\n\n\n\n
    Primeiro instalamos a biblioteca:<\/p>\n\n\n\n
    npm install express-session\n<\/code><\/pre>\n\n\n\n
    Depois configuramos:<\/p>\n\n\n\n
    app.use(session({\n    secret: \"minha-chave-secreta\",\n    resave: false,\n    saveUninitialized: false,\n    cookie: {\n        maxAge: 1000 * 30\n    }\n}));\n<\/code><\/pre>\n\n\n\n
    O que significa cada propriedade?<\/h3>\n\n\n\n
    secret<\/strong><\/p>\n\n\n\n
    Utilizada para assinar a sess\u00e3o.<\/p>\n\n\n\n
    Nunca deve ficar exposta diretamente no c\u00f3digo.<\/p>\n\n\n\n
    O ideal \u00e9 armazenar em vari\u00e1veis de ambiente.<\/p>\n\n\n\n
    resave<\/strong><\/p>\n\n\n\n
    Define se a sess\u00e3o deve ser salva novamente mesmo sem altera\u00e7\u00f5es.<\/p>\n\n\n\n
    saveUninitialized<\/strong><\/p>\n\n\n\n
    Evita criar sess\u00f5es vazias sem necessidade.<\/p>\n\n\n\n
    cookie.maxAge<\/strong><\/p>\n\n\n\n
    Define por quanto tempo a sess\u00e3o ficar\u00e1 v\u00e1lida.<\/p>\n\n\n\n
    No exemplo:<\/p>\n\n\n\n
    1000 * 30\n<\/code><\/pre>\n\n\n\n
    A sess\u00e3o expira ap\u00f3s 30 segundos.<\/p>\n\n\n\n
    \n\n\n\n
    Criando o Login<\/h2>\n\n\n\n
    Ap\u00f3s validar usu\u00e1rio e senha, criamos a sess\u00e3o:<\/p>\n\n\n\n
    req.session.usuario = {\n    id: usuario.id,\n    nome: usuario.nome,\n    email: usuario.email\n};\n<\/code><\/pre>\n\n\n\n
    Se tudo estiver correto:<\/p>\n\n\n\n
    return res.json({\n    mensagem: \"Login realizado com sucesso\"\n});\n<\/code><\/pre>\n\n\n\n
    Caso contr\u00e1rio:<\/p>\n\n\n\n
    return res.status(401).json({\n    mensagem: \"Usu\u00e1rio ou senha inv\u00e1lidos\"\n});\n<\/code><\/pre>\n\n\n\n
    Observe que a mensagem n\u00e3o informa qual campo est\u00e1 incorreto.<\/p>\n\n\n\n
    Isso \u00e9 uma pr\u00e1tica importante de seguran\u00e7a.<\/p>\n\n\n\n
    \n\n\n\n
    Protegendo Rotas com Middleware<\/h2>\n\n\n\n
    Depois do login precisamos impedir que usu\u00e1rios n\u00e3o autenticados acessem determinadas \u00e1reas.<\/p>\n\n\n\n
    Criamos ent\u00e3o um middleware:<\/p>\n\n\n\n
    function protegerRota(req, res, next) {\n\n    if (!req.session.usuario) {\n        return res.status(401).json({\n            mensagem: \"Acesso negado\"\n        });\n    }\n\n    next();\n}\n<\/code><\/pre>\n\n\n\n
    Agora basta utiliz\u00e1-lo:<\/p>\n\n\n\n
    app.get(\n    \"\/api\/protegida\",\n    protegerRota,\n    (req, res) => {\n\n        res.json({\n            mensagem: \"Rota protegida\"\n        });\n\n    }\n);\n<\/code><\/pre>\n\n\n\n
    Se a sess\u00e3o n\u00e3o existir, o acesso ser\u00e1 bloqueado.<\/p>\n\n\n\n
    \n\n\n\n
    O que acontece quando a Session expira?<\/h2>\n\n\n\n
    No projeto configuramos:<\/p>\n\n\n\n
    cookie: {\n    maxAge: 1000 * 30\n}\n<\/code><\/pre>\n\n\n\n
    Ap\u00f3s 30 segundos sem uma sess\u00e3o v\u00e1lida, o usu\u00e1rio perde a autentica\u00e7\u00e3o.<\/p>\n\n\n\n
    Ao tentar acessar novamente uma rota protegida, receber\u00e1:<\/p>\n\n\n\n
    {\n    \"mensagem\": \"Acesso negado\"\n}\n<\/code><\/pre>\n\n\n\n
    Essa \u00e9 uma forma simples de controlar o tempo de perman\u00eancia do usu\u00e1rio autenticado.<\/p>\n\n\n\n
    \n\n\n\n
    Como funciona o Logout?<\/h2>\n\n\n\n
    Fazer logout significa destruir a sess\u00e3o e remover o cookie associado.<\/p>\n\n\n\n
    No Express Session podemos fazer assim:<\/p>\n\n\n\n
    req.session.destroy(() => {\n\n    res.clearCookie(\"connect.sid\");\n\n    res.json({\n        mensagem: \"Logout realizado com sucesso\"\n    });\n\n});\n<\/code><\/pre>\n\n\n\n
    Dessa forma:<\/p>\n\n\n\n
      \n
    1. A sess\u00e3o \u00e9 removida do servidor.<\/li>\n\n\n\n
    2. O cookie \u00e9 apagado do navegador.<\/li>\n\n\n\n
    3. O usu\u00e1rio perde acesso \u00e0s rotas protegidas.<\/li>\n<\/ol>\n\n\n\n
      \n\n\n\n
      Session x JWT<\/h2>\n\n\n\n
      Uma d\u00favida comum \u00e9:<\/p>\n\n\n\n
      Qual a diferen\u00e7a entre Session e JWT?<\/p>\n\n\n\n
      Session<\/h3>\n\n\n\n
        \n
      • Dados ficam armazenados no servidor.<\/li>\n\n\n\n
      • Cookie guarda apenas um identificador.<\/li>\n\n\n\n
      • Mais simples para aplica\u00e7\u00f5es tradicionais.<\/li>\n\n\n\n
      • F\u00e1cil controle de logout.<\/li>\n<\/ul>\n\n\n\n
        JWT<\/h3>\n\n\n\n
          \n
        • Dados ficam dentro do token.<\/li>\n\n\n\n
        • Token normalmente \u00e9 armazenado no navegador.<\/li>\n\n\n\n
        • N\u00e3o depende de armazenamento de sess\u00e3o no servidor.<\/li>\n\n\n\n
        • Muito utilizado em APIs e arquiteturas distribu\u00eddas.<\/li>\n<\/ul>\n\n\n\n
          Nenhuma solu\u00e7\u00e3o \u00e9 melhor em todos os cen\u00e1rios.<\/p>\n\n\n\n
          Cada uma resolve problemas diferentes.<\/p>\n\n\n\n
          \n\n\n\n
          Conclus\u00e3o<\/h2>\n\n\n\n
          Quando voc\u00ea faz login em um sistema, o servidor cria uma sess\u00e3o contendo suas informa\u00e7\u00f5es.<\/p>\n\n\n\n
          O navegador recebe apenas um identificador armazenado em um Cookie.<\/p>\n\n\n\n
          A cada nova requisi\u00e7\u00e3o, esse identificador \u00e9 enviado automaticamente, permitindo que o servidor reconhe\u00e7a quem est\u00e1 acessando a aplica\u00e7\u00e3o.<\/p>\n\n\n\n
          Com isso conseguimos:<\/p>\n\n\n\n
            \n
          • Fazer login<\/li>\n\n\n\n
          • Proteger rotas<\/li>\n\n\n\n
          • Controlar expira\u00e7\u00e3o de sess\u00e3o<\/li>\n\n\n\n
          • Implementar logout<\/li>\n\n\n\n
          • Gerenciar autentica\u00e7\u00e3o de forma segura<\/li>\n<\/ul>\n\n\n\n
            Entender Session e Cookies \u00e9 um passo fundamental para compreender como aplica\u00e7\u00f5es web reais funcionam por tr\u00e1s das telas.<\/p>\n\n\n\n
            Assista \u00e0 aula<\/h2>\n\n\n\n
            \ud83c\udfa5 Como os Sites Sabem Que Voc\u00ea Est\u00e1 Logado? Session e Cookies na Pr\u00e1tica<\/strong><\/p>\n\n\n\n
            Neste v\u00eddeo voc\u00ea aprende na pr\u00e1tica como funciona a autentica\u00e7\u00e3o utilizando Session e Cookies no Node.js com Express Session.<\/p>\n\n\n\n
            \ud83d\udcfa V\u00eddeo editado:<\/p>\n\n\n\n
            \n