Si assegna un identificativo al client, valido per la durata della sessione.
Ad esempio,
ead5f1dbbfffbc2b3a36d65b7c2eadb2
Nota:
ottenuto dal comando seguente:
perl -e 'use Apache::Session::File; print Apache::Session::File -> TIEHASH -> FETCH ( '_session_id' ), "\n"'
L'identificativo deve essere casuale e imprevedibile: un attaccante non deve essere in grado di poter "indovinare" un identificativo.
Svantaggio:
il server deve provvedere a memorizzare i dati associati all'identificativo e recuperarli ad ogni richiesta. C'è bisogno di un meccanismo per poter salvare i dati e recuperarli successivamente (persistenza), che comporta una maggiore difficoltà di gestione.