มืด

Difference between cookies, session and tokens

Valentin Despa
ติดตาม
มุมมอง 100 987
98% 996 14

So what are cookies, sessions, and tokens?
Most web servers use cookies to send the session-ID after you login.
So the server will store the session information in the database while you will only have the session id in a cookie, which is stored in the filesystem of your computer.
The session-ID is randomly generated and should be hard to guess. If you log out, the session will be deleted on the server, but also the server will instruct the browser to delete the cookie containing the session-ID.
Next time you request another page, your browser will automatically send a cookie containing your sessionId, which the server will check to see if it is valid.
An alternative to this is to store information on the client and to sign it. In this scenario, anyone holding the signature can quickly check if the data was manipulated or not. One way to do this is to use JSON Web Tokens or JWT tokens.
Let's now assume that you want to install an app on your phone, which can help you with your finances and keep track of your spendings. What you don't want to do is to give your username and password to this app, which was not created by your bank. This is when access tokens are being used to grant access to your data.
Technologies mentioned in this video:
JWT Tokens: jwt.io/
OAuth, OAuth2: oauth.net/
OpenId: openid.net/
___
___
// POSTMAN COMPLETE GUIDE ONLINE COURSE
👉 Want to learn more about Postman? Check my Postman online course.
Get it at a special price and help support this THvid channel:
vdespa.com/courses/?q=THvid
___
// I HAVE A QUESTION!
I do my best to answer all comments here on THvid but I cannot make any guarantees.
If you have a question, it is best to ask your question on the Postman User Group on Facebook or on the Postman Community (links below).
If you have purchased the Postman Online Course, please use the Q&A section or send me a message on Udemy.
Please do not email me or contact me on other channels as I might not be able to answer. Sorry!
___
// I HAVE A VIDEO IDEA
Do you want me to create a video on a specific topic? Just fill out the form below:
forms.gle/uWEzXFQ2viJtZtvZ7
___
// P L A Y L I S T S
▸ Learn Postman | bit.ly/2CFaf70
▸ Postman Crash Course | bit.ly/2YwEBBT
▸ Postman Tips & Tricks | bit.ly/2JLkXyU
___
// F R E E R E S O U R C E S
▸▸▸ DOWNLOAD the FREE Postman Quick Reference Guide
bit.ly/postman-quick-reference-yt
▸▸▸ JOIN the Postman User Group on Facebook
bit.ly/2OutAMZ
▸▸▸ The OFFICIAL Postman community forum
community.getpostman.com/
▸▸▸ 👉 Subscribe to the "Testing and automation with Valentine" newsletter for bi-weekly tutorials, tips, and news from the industry.
eepurl.com/gPwpU1
___

// YOUR SUPPORT ON PATREON MATTERS
If you enjoy this content, help me create more like this. Consider supporting me on Patreon.
patreon.com/vdespa
___
// IMPRINT
vdespa.com/imprint
---

เผยแพร่เมื่อ

 

28 พ.ย. 2019

แชร์:

แชร์:

ดาวน์โหลด:

โหลดลิงค์.....

เพิ่มลงใน:

เพลย์ลิสต์ของฉัน
ดูภายหลัง
ความคิดเห็น 64
Valentin Despa
Valentin Despa ปีที่แล้ว
👉 Want to learn more about Postman? Get my Postman complete course at a special price and help support this THvid channel. vdespa.com/courses/?q=THvid
Noël NGUYEN TUY
Noël NGUYEN TUY 17 ชั่วโมงที่ผ่านมา
Pour GOOGLE et tous les sites annonceurs et tous leurs supporteurs Vous devez respecter la liberté de chacun. Vous ne devez pas nous empêcher de lire ce qu’on désire Vous n’avez pas le droit de disposer comme bon vous semble nos données personnelles . Nous sommes heureux de vous écrire pour vous remercier de vos services pour nous et pour tous les utilisateurs Depuis le début de vos activités, nous sommes toujours restés fidèles à Vous . Il n'y a aucune raison de changer. Cependant, ces derniers temps, depuis que vous avez introduit une autre politique COOKIES omniprésents sur Internet, cela a complètement changé nos sentiments à votre égard. Cette façon agressive de COOKIES que nous voyons partout nous agace! Vous imposez actuellement des COOKIES sur le WEB pour les utilisateurs de manière honteuse, sans aucun respect de l'opinion et de la liberté individuelle de chacun. Et vous dites que vous les respectez !! Vous déclarez que vous souhaitez collecter nos données personnelles pour les utiliser à des fins commerciales et les partager avec de nombreux autres : Partage, échange ou location de nos fichiers avec des partenaires commerciaux 'Vous jonglez entièrement avec nos données. Afin de nous inonder de multiples publicités indésirables et dérangeantes. Mais surtout vous nous interdisez de faire de recherches dont on a besoin. Vous bloquez arbitrairement le WEB. Vous ne nous laissez souvent même pas TOUT REFUSER comme La Loi vous oblige . Cela devient insupportable! Vous prenez les consommateurs pour des imbéciles. Les gens sont horrifiés et scandalisés! Ils n’ont pas la possibilité d’échapper de votre mainmise . Il est temps de revenir comme avant, c'est-à-dire plus raisonnable, plus respectueux. Il faut respecter RÉELLEMENT la vie privée des gens SVP. Souvenez-vous du passé quand il n'y avait pas de COOKIES envahissantes comme maintenant, la vie c'était mille fois plus paisible: nous surfions sur les pages d'Internet sans aucune entrave, surfions avec toute la liberté et les plaisirs sans être gênés par personne. Nous voulons que vous preniez conscience de la gravité du problème et que vous abandonniez définitivement votre politique actuelle de COOKIES qui nous fait perdre toute confiance en Vous !! Nous vous rappelons que vous devez observer strictement le Règlement Général de Protection des Données RGPD de l’Union Européenne et que plusieurs Sites comme Vous ont été déjà lourdement condamnés pour ces infractions . Nous vous remercions sincèrement.
Mada Stan
Mada Stan 9 วันที่ผ่านมา
If the server deletes the cookie at logout, how the server knows to the next login to not ask for client credentials if they are deleted?
Valentin Despa
Valentin Despa 5 วันที่ผ่านมา
By bad. The part with the logout was in between. If you don't log out, the cookies will be sent.
green teabag
green teabag 14 วันที่ผ่านมา
How do I find your courses on udemy
Valentin Despa
Valentin Despa 14 วันที่ผ่านมา
You will find a link on vdespa.com/courses
green teabag
green teabag 14 วันที่ผ่านมา
Love your videos
Valentin Despa
Valentin Despa 11 วันที่ผ่านมา
Thank you!
Asim Ali
Asim Ali 14 วันที่ผ่านมา
like it
Valentin Despa
Valentin Despa 14 วันที่ผ่านมา
Thanks.
Mandumbe
Mandumbe 17 วันที่ผ่านมา
Great explanation
Valentin Despa
Valentin Despa 15 วันที่ผ่านมา
Glad you think so!
Chemical NITT
Chemical NITT 20 วันที่ผ่านมา
testing dev tools.
Anop Singh Ranawat
Anop Singh Ranawat 21 วันที่ผ่านมา
One of the best explanations out there on the internet. yes, It is more like a movie
Valentin Despa
Valentin Despa 20 วันที่ผ่านมา
Very kind of you to stay that. Thanks.
Aosis
Aosis หลายเดือนก่อน
useful
Chemical NITT
Chemical NITT 20 วันที่ผ่านมา
@Valentin Despa yea
Valentin Despa
Valentin Despa หลายเดือนก่อน
Glad you think so!
HK
HK หลายเดือนก่อน
the explanation was butter
Valentin Despa
Valentin Despa หลายเดือนก่อน
Thanks.
Sana Kauser Neyazi
Sana Kauser Neyazi หลายเดือนก่อน
It is superb. Make us understand with clear examples.... Thanks alot
Valentin Despa
Valentin Despa หลายเดือนก่อน
It's my pleasure
Abdullah Ozkan
Abdullah Ozkan หลายเดือนก่อน
I feel like one upvote and subscription are not just enough. What an extremely clear and high quality tutorial
Valentin Despa
Valentin Despa หลายเดือนก่อน
Thank you ☺️
Ravikumar
Ravikumar หลายเดือนก่อน
Clear cut explained bro
Valentin Despa
Valentin Despa หลายเดือนก่อน
Glad you liked it
Koray Tugay
Koray Tugay หลายเดือนก่อน
1:05 The session does not need to be created in the database.. It might also be in-memory..
Valentin Despa
Valentin Despa หลายเดือนก่อน
Thanks for your comment. That is correct. I just wanted to share a common scenario for beginners.
DHIREN BHARDWAJ
DHIREN BHARDWAJ 2 หลายเดือนก่อน
Quick Question: Once user logout session will be deleted from server and server instructs to browser delete cookies but 2nd time when user user login again user name and password are no longer required. my question is when session is already delete from server how user would be able to login without entering user id and password
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
The part with the deletion of the cookie is just what happens when the user logs out.
kazi shafin
kazi shafin 2 หลายเดือนก่อน
i want to thank you 100 times...it was so easy to understand
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
Glad it helped!
Peining Tsou
Peining Tsou 2 หลายเดือนก่อน
I was struggling about how these two works. Now it's all clear. Thanks a million!!
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
You are so welcome!
riddam jain
riddam jain 2 หลายเดือนก่อน
Thanks for the explanation
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
You are welcome. I hope it was helpful.
Henry Han
Henry Han 2 หลายเดือนก่อน
Nice video! Just one thing I'm concerned about. Isn't cookie also available in mobile app? stackoverflow.com/questions/19513052/is-cookies-a-good-idea-for-session-management-in-mobile-apps
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
Thanks Henry. This largely depends on the app and how it works. HTML based apps may work with cookies. Other apps that make their own HTTP calls may not want to do cookie management.
Alphy Gacheru
Alphy Gacheru 2 หลายเดือนก่อน
Can anyone kindly explain this to me. He says after login out the server deletes the session and also instructs the browser to delete the session. Then when the user requests a page again, then the browser will send a cookie with a session ID to the server. I'm wondering how the browser has the cookie again yet he said it was deleted in the browser! Clarification will be highly appreciated!
Alphy Gacheru
Alphy Gacheru 18 วันที่ผ่านมา
@Valentin Despa Got it, thanks! It's clear now!
Valentin Despa
Valentin Despa 28 วันที่ผ่านมา
@Alphy Gacheru Yes, the user remains logged in.
Alphy Gacheru
Alphy Gacheru 28 วันที่ผ่านมา
​@Valentin Despa Thanks for the response. So from the video where you say "Next time you request a page the browser sends a session for the server to validate if it's still valid..." You meant the user was logged in when all this was happening?
Mohammad Asif Iqbal
Mohammad Asif Iqbal หลายเดือนก่อน
@Valentin Despa Hi, I was not clear of your explanation. I am a novice in this sector. Would you be kind enough to write one more line for me, PLEASE?
Valentin Despa
Valentin Despa 2 หลายเดือนก่อน
My Alphy! My bad, I think I could have explained this better. The part with deleting is just an example of what happens when you log out.
Antonio Bellifemine
Antonio Bellifemine 3 หลายเดือนก่อน
Hi, great content! Curious... What camera do you use to film? How about screen capture?
Valentin Despa
Valentin Despa 3 หลายเดือนก่อน
Canon camera and VideoScribe animation tool.
Sourav Roy, 160
Sourav Roy, 160 3 หลายเดือนก่อน
Oh then, Token used in net-banking?
Valentin Despa
Valentin Despa 3 หลายเดือนก่อน
Just an example.
Ryuji Ganaha
Ryuji Ganaha 3 หลายเดือนก่อน
It was really easy to understand. Thank you!
Valentin Despa
Valentin Despa 3 หลายเดือนก่อน
Glad it was helpful!
Eli
Eli 3 หลายเดือนก่อน
I watch a wide range of programming youtubers (WebDevSimplified, TechLead, TrenBlack, Aaron Jack, Academind, etc) and yet, you provide some of the best/most useful programming videos I've ever seen! Keep it up man! p.s. I only watch TechLead for entertainment purposes lol
Eli
Eli หลายเดือนก่อน
@Mike Xue lol obv after watching Tren Black expose Tech Lead you don’t want to watch him, but recently he’s turned out to be one of the most genuine and funniest THvidrs out there!
Mike Xue
Mike Xue หลายเดือนก่อน
i am the same fan of those youbuters as you. and fully agree with you about TechLead :-)
Valentin Despa
Valentin Despa 3 หลายเดือนก่อน
Wow, thanks for your kind words!
Luke Kim
Luke Kim 4 หลายเดือนก่อน
I don't understand. 1) Aren't cookies stored in the browser? Why is it being saved on local file system? 2) You mentioned that once the user logs out, the session is cleared out from the server and the browser no longer holds the sid. How can the user later on send a request with a sid? How can the server find a session that's already been deleted?? Thanks so much in advance
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
Thanks for your questions, Luke. 1) everything, including your browser is ultimately stored on your file system. You can search for something like this: "Where cookies are located in Windows 10". 2) After logout, the browser will send again the username and password and get a new sid. Let me know if you have any questions about this.
Gris Cuevas Zambrano
Gris Cuevas Zambrano 4 หลายเดือนก่อน
Great work, thank you!
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
Glad you liked it!
Geronimo Tondato
Geronimo Tondato 4 หลายเดือนก่อน
Thank you! The explanation was useful!
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
Glad it was helpful!
tamil vanan
tamil vanan 4 หลายเดือนก่อน
Thanks for explaining the concepts in an clear and simple way
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
Glad you liked it
Nikita Myshuniaiev
Nikita Myshuniaiev 4 หลายเดือนก่อน
Thank you so much for this video. I spent 10 hours of understanding why my JWT works in Postman but refuses to work in regular browses...
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
Glad it was helpful!
wenxinliu
wenxinliu 4 หลายเดือนก่อน
How do these concepts correlate to stateful vs stateless? I've been sessions and tokens mentioned when explaining stateful vs stateless.
Valentin Despa
Valentin Despa 4 หลายเดือนก่อน
HTTP is stateless, as it does not hold a state. The state is kept on the server, for example.
José Miguel López Becerra
José Miguel López Becerra 5 หลายเดือนก่อน
lovely !
Valentin Despa
Valentin Despa 5 หลายเดือนก่อน
Thanks
Rocky yokohama
Rocky yokohama 5 หลายเดือนก่อน
Short and clear video thank you dude
Valentin Despa
Valentin Despa 5 หลายเดือนก่อน
Glad you liked it!
Imesh Damith
Imesh Damith 5 หลายเดือนก่อน
In your chrome example, your request http session ID and response session ID is different. That means, does server create two http sessions ? And what will happen to the previous session (before login) once you login? Does it auto invalidate?
Valentin Despa
Valentin Despa 5 หลายเดือนก่อน
That is a great observation. Typically the sessionId will remain the same. In the example showed, the user transitioned from a not logged-in state (one sessionId) to a logged-in state (new sessionId).
Malak Mostafa
Malak Mostafa 6 หลายเดือนก่อน
4:32 wow
Justine Rayat
Justine Rayat 6 หลายเดือนก่อน
This is awesome. I love the analogies and the illustrations used.
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
I am glad it helped!
nananana Batman
nananana Batman 6 หลายเดือนก่อน
I would prefer if you would go a little bit more into detail how it is actually implemented and what common pitfalls would be, otherwise its a great video for now
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
Thank you for your comment. The implementation is language specific. Maybe I will do more tutorials about this.
venkata swamy
venkata swamy 6 หลายเดือนก่อน
Thanks a lot Sir! Make us understand with clear examples
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
Most welcome!
Debanga Medhi
Debanga Medhi 6 หลายเดือนก่อน
wow! good job!!
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
Thank you so much 😀
Thilina Hettiarachchi
Thilina Hettiarachchi 7 หลายเดือนก่อน
How about storing JWTs in a cookie?
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
You can do that but you need to ensure the cookie is secure and ideally not readable from JavaScript.
Huu Tu Tran
Huu Tu Tran 7 หลายเดือนก่อน
nice,thanks a lot
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
You are most welcome
John M
John M 7 หลายเดือนก่อน
5:35 man don't ever scare me like that my name is really John 😂😂
A A
A A หลายเดือนก่อน
lol
Jon Airey
Jon Airey 6 หลายเดือนก่อน
Same here
Valentin Despa
Valentin Despa 6 หลายเดือนก่อน
Good one :)
Vamsi Krishna
Vamsi Krishna 7 หลายเดือนก่อน
Very clear explanation. Really saved my time. Thank you, man!!!
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
I am super glad to hear that! Thanks a lot!
Dedo Scalera
Dedo Scalera 7 หลายเดือนก่อน
Very cool video! Thanks!
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
Glad you liked it!
ark ark
ark ark 7 หลายเดือนก่อน
Nice explanation.. thumbs up!
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
Thank you! I am glad it helped.
O Trofeleiro
O Trofeleiro 7 หลายเดือนก่อน
Great stuff! 😀
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
Thanks! 😀
sai shan
sai shan 7 หลายเดือนก่อน
Great effort to make 9:32 min video so valuable. Thanks
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
You are welcome.
Claudia Sastrowardojo
Claudia Sastrowardojo 7 หลายเดือนก่อน
can someone use my session id in cookie to log into my account?
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
Great questions, Claudia! yes, it is possible if you get hacked. This is called session hijacking.
omar bahy
omar bahy 7 หลายเดือนก่อน
2:13 You sayed that the session will be deleted after browser was closen When I open the website again how is web server use session id when session was deleted ?
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
@omar bahy You are welcome
omar bahy
omar bahy 7 หลายเดือนก่อน
@Valentin Despa yeah , Thank you very match
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
@omar bahy I am saying that the session will be deleted when you log out (not when you close the browser). Is it clearer now?
omar bahy
omar bahy 7 หลายเดือนก่อน
@Valentin Despa Thx for your awnser . I mean in 2:07
Valentin Despa
Valentin Despa 7 หลายเดือนก่อน
Thank you for your question. I think I said that the server will instruct the browser to delete the cookie.
Subodh Vashistha
Subodh Vashistha 8 หลายเดือนก่อน
Loved it
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
Thank you for letting me know.
Mohammad Nawazish Khan
Mohammad Nawazish Khan 8 หลายเดือนก่อน
After login, I get a session id from server which is stored in a cookie; if somebody gets that cookie then would he be able to make requests on my behalf like a security vulnerability?
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
Yes, that is correct. This is why the browser will ensure the cookie does not get stolen.
Maedeh Shahabi
Maedeh Shahabi 8 หลายเดือนก่อน
it was wonderful man! do you have a good link for oauth tutorial?
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
I did a video a while back on OAuth2 but the video / audio is not so good. You can find it on my channel.
Yasmine Abdelhak
Yasmine Abdelhak 8 หลายเดือนก่อน
wow ! the animation made the video more clearer
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
I am glad the animation helped. Thank you for letting me know.
KDASH201
KDASH201 8 หลายเดือนก่อน
Really good bro. Thanks
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
Thank you!
Bighton Dube
Bighton Dube 8 หลายเดือนก่อน
Usefull
Valentin Despa
Valentin Despa 8 หลายเดือนก่อน
Thanks!
Alaina Friesen
Alaina Friesen 8 หลายเดือนก่อน
Kuukie
Shrikant Mane
Shrikant Mane 9 หลายเดือนก่อน
Best tutorial for this topic, please share the which is best location for store Token at client side like localstorage, session storage or httpcookie only or else other, .. And how to impelement in asp.net core and SPA (Angular2/Vuejs/ReactJs). Awaiting your valuable inputs. Thank you for the video.
Valentin Despa
Valentin Despa 9 หลายเดือนก่อน
Thank you! You need to understand the security implications of storing the token and also your application requirements. Unfortunately, it is not possible within. a comment to get into details.
lakmal gunasekara
lakmal gunasekara 9 หลายเดือนก่อน
wow, your explanation amazing!!! keep it up
Valentin Despa
Valentin Despa 9 หลายเดือนก่อน
Thank you very much!
luojihencha
luojihencha 9 หลายเดือนก่อน
Thank you!
Omphemetse Mafoko
Omphemetse Mafoko 10 หลายเดือนก่อน
Thank you for your explanation
Valentin Despa
Valentin Despa 10 หลายเดือนก่อน
You're welcome 🚀
Patrik
Patrik 10 หลายเดือนก่อน
Best tutorial for this topic on THvid so far. Thank you.
Valentin Despa
Valentin Despa 10 หลายเดือนก่อน
Thank you Patrik!
Ewa Górka
Ewa Górka 10 หลายเดือนก่อน
Great explanation! Thanks a lot :)
Valentin Despa
Valentin Despa 10 หลายเดือนก่อน
I am glad it helped. Thanks Ewa!
Abhishek Datkhile
Abhishek Datkhile 11 หลายเดือนก่อน
very simple and animated explanation thank you sir
Valentin Despa
Valentin Despa 11 หลายเดือนก่อน
You are welcome. I am glad it helped.
Krzysztof Ryszawy
Krzysztof Ryszawy 11 หลายเดือนก่อน
Great presentation! Many thanks.
Valentin Despa
Valentin Despa 11 หลายเดือนก่อน
Thank you for watching! I hope it helped a bit.
ต่อไป
OAuth 2.0 and OpenID Connect (in plain English)
1:02:17
Verifying that you're not a robot
1:25
มุมมอง 397 096
I Spent $10,000 Achieving My Dream
12:25
มุมมอง 2 727 343
Cookie Stealing - Computerphile
16:12
มุมมอง 916 000
Sessions & Cookies
07:30
มุมมอง 114 000
HTTP Cookies Crash Course
1:09:21
มุมมอง 25 000
What Is JWT and Why Should You Use JWT
14:53
มุมมอง 242 000
How cookies can track you (Simply Explained)
06:51
JavaScript Cookies vs Local Storage vs Session
14:28
Top Football Skills (51)
0:46
มุมมอง 1 717 746