בסרטון הזה נלמד על ההבדלים בין session based authentication ל token based authentication ובשיעור הבא נפתח יחדיו קוד PHP שמיישם את השיטות הללו. כאשר משתמש מבצע חיבור לאתר ע"י הזנת שם המשתמש והסיסמא, חוץ מהאימות הראשוני שהוובסרבר ביצע בשלב הLOGIN, הוובסרבר נדרש לאמת אותו מחדש בכל דף ודף שהמשתמש מבקש, עד שהוא יבצע התנתקות מהאתר, כלומר עד שהמשתמש ילחץ על כפתור ה-LOGOUT. כדי להימנע מהצורך לבקש מהמשתמש שיזין שם משתמש וסיסמא מחדש בכל דף ודף כשהוא גולש באתר, נדרש לתת לוובסרבר פתרון שונה לאמת את זהות המשתמש, לאחר שהוא ביצע את הLOGIN הראשוני. ישנן שתי שיטות לבצע אימות למשתמש ללא הצורך לבקש ממנו בכל דף שהוא נכנס להזין מחדש את שם המשתמש והסיסמא. השיטה הראשונה והותיקה נקראת Session Based Authentication. בעקבות הקידמה הטכנולוגית שהתפתחה עם השנים, צצו אתגרים טכנולגיים שהקשו על השימוש בשיטת session based authentication, ולפיכך פותחה שיטה נוספת שבאה להתמודד עם אותם אתגרים, והיא נקראת Token based Authentication.
// ידע קודם שנדרש לשיעור זה //
שיעורים קודמים בסדרת השיעורים How The Web Works - קישור: • How The Web Works | כי...
// קישורים //
הירשמו לערוץ שלי: tinyurl.com/SubsAviCyber
היכנסו לערוץ שלי: tinyurl.com/AviCyberChannel
מסמך RFC של JWT - קישור: tinyurl.com/nzfvnfn2
הורדת חומרים לשיעור: tinyurl.com/5ayvcdru
// עדכונים //
שאלה: אם token גם מועבר ב cookie, האם שוב לא נוצרת בעיה של ריבוי דומיינים?
תשובה: נכון. יחד עם זאת, ניתן להעביר את ה token כפרמטר ב querysting וכך לפנות לדומיינים שונים. לעומת זאת, ב session based authentication לא אפשרי להעביר את ה session id כפרמטר כי בצד השרת לא יהיה את ה session בזיכרון במידה והבקשה מגיעה לwebserver אחר שמנהל דומיין אחר.
// פרקים //
00:00 מה נלמד היום
05:10 Session Based Authentication
24:34 Token Based Authentication
34:33 JWT
47:45 סיכום ומילות סיום