13 - Session vs Token Based Authentication | כישורי ליבה בסייבר 2026

בסרטון הזה נלמד על ההבדלים בין session based authentication ל token based authentication ובשיעור הבא נפתח יחדיו קוד PHP שמיישם את השיטות הללו. כאשר משתמש מבצע חיבור לאתר ע"י הזנת שם המשתמש והסיסמא, חוץ מהאימות הראשוני שהוובסרבר ביצע בשלב הLOGIN, הוובסרבר נדרש לאמת אותו מחדש בכל דף ודף שהמשתמש מבקש, עד שהוא יבצע התנתקות מהאתר, כלומר עד שהמשתמש ילחץ על כפתור ה-LOGOUT. כדי להימנע מהצורך לבקש מהמשתמש שיזין שם משתמש וסיסמא מחדש בכל דף ודף כשהוא גולש באתר, נדרש לתת לוובסרבר פתרון שונה לאמת את זהות המשתמש, לאחר שהוא ביצע את הLOGIN הראשוני. ישנן שתי שיטות לבצע אימות למשתמש ללא הצורך לבקש ממנו בכל דף שהוא נכנס להזין מחדש את שם המשתמש והסיסמא. השיטה הראשונה והותיקה נקראת Session Based Authentication. בעקבות הקידמה הטכנולוגית שהתפתחה עם השנים, צצו אתגרים טכנולגיים שהקשו על השימוש בשיטת session based authentication, ולפיכך פותחה שיטה נוספת שבאה להתמודד עם אותם אתגרים, והיא נקראת Token based Authentication. // ידע קודם שנדרש לשיעור זה // שיעורים קודמים בסדרת השיעורים How The Web Works - קישור: https://www.youtube.com/playlist?list=PL7gyDCIVIxZ2JCT3Pdf_nYDhdw3xB26OW // קישורים // הצטרפו אלי למועדון: https://tinyurl.com/AviJoin הירשמו לערוץ שלי: http://tinyurl.com/SubsAviCyber היכנסו לערוץ שלי: https://tinyurl.com/AviCyberChannel מסמך RFC של JWT - קישור: https://tinyurl.com/nzfvnfn2 הורדת חומרים לשיעור: https://tinyurl.com/5ayvcdru // עדכונים // שאלה: אם token גם מועבר ב cookie, האם שוב לא נוצרת בעיה של ריבוי דומיינים? תשובה: נכון. יחד עם זאת, ניתן להעביר את ה token כפרמטר ב querysting וכך לפנות לדומיינים שונים. לעומת זאת, ב session based authentication לא אפשרי להעביר את ה session id כפרמטר כי בצד השרת לא יהיה את ה session בזיכרון במידה והבקשה מגיעה לwebserver אחר שמנהל דומיין אחר. // פרקים // 00:00 מה נלמד היום 05:10 Session Based Authentication 24:34 Token Based Authentication 34:33 JWT 47:45 סיכום ומילות סיום