Bir Web Sitesi Seni Nasıl “Hatırlar”? Cookie, Session ve Token Mantığını Basitçe Anlayalım   Bir web sitesine giriş yaptığında seni isminle karşılayan,sepetteki ...

Bir Web Sitesi Seni Nasıl “Hatırlar”?

Cookie, Session ve Token Mantığını Basitçe Anlayalım

Bir web sitesine giriş yaptığında seni isminle karşılayan,
sepetteki ürünleri kaldığın yerden gösteren
veya tekrar şifre sormadan gezmene izin veren sistem hiç dikkatini çekti mi?

“Bu site beni nasıl hatırlıyor?”
“Tarayıcıyı kapatsam bile neden hâlâ giriş yapmış görünüyorum?”
“Güvenli bir oturum nasıl sağlanıyor?”

Bu soruların cevabı genellikle üç temel yapının içinde gizlidir:

Cookie
Session
Token

Bu yazıda bu kavramları insani, sade ve SEO uyumlu bir dille;
karmaşaya girmeden ama mantığını kaçırmadan anlatacağız.

Web Neden Seni Hatırlamak Zorunda?

HTTP protokolünün temel bir özelliği vardır:

Stateless (durumsuzdur)

Yani:

• Her istek bağımsızdır

• Sunucu, bir önceki isteği “hatırlamaz”

Bu yüzden tarayıcı ile sunucu arasında bir hafıza mekanizması gerekir.
İşte Cookie, Session ve Token tam olarak bu boşluğu doldurur.

Cookie (Çerez) Nedir?

Cookie, tarayıcıda saklanan küçük veri parçacıklarıdır.

• Kullanıcı tarafında tutulur

• Her istekte sunucuya otomatik gönderilir

• Genellikle anahtar–değer (key=value) yapısındadır

Ne İşe Yarar?

• Oturum bilgisi taşımak

• Kullanıcı tercihlerini hatırlamak

• Dil, tema, sepet bilgisi saklamak

Avantajları

✔ Basit
✔ Hızlı
✔ Tarayıcı tarafından otomatik yönetilir

Riskleri

⚠️ XSS saldırılarında çalınabilir
⚠️ Yanlış yapılandırılırsa güvenlik açığı oluşturur

Not:
Cookie içine şifre veya hassas veri koymak ciddi bir hatadır.

Session (Oturum) Nedir?

Session, kullanıcının kimliğinin sunucu tarafında tutulduğu yapıdır.

Çalışma mantığı şöyledir:

1. Kullanıcı giriş yapar

2. Sunucu bir Session ID üretir

3. Bu ID, kullanıcıya cookie olarak gönderilir

4. Asıl bilgiler sunucuda saklanır

Yani:

• Cookie → Sadece bir anahtar

• Session → Gerçek verinin kendisi

Avantajları

✔ Daha güvenlidir
✔ Hassas veri tarayıcıda tutulmaz

Dezavantajları

Sunucu yükü oluşturur
Dağıtık sistemlerde ölçekleme zordur

Session yapısı, özellikle klasik PHP / ASP.NET / Java tabanlı uygulamalarda çok yaygındır.

Token Nedir?

Token, modern web ve mobil uygulamaların vazgeçilmezidir.

En yaygın örnek:

• JWT (JSON Web Token)

Nasıl Çalışır?

• Kullanıcı giriş yapar

• Sunucu imzalı bir token üretir

• Token istemciye verilir

• Her istekte token gönderilir

• Sunucu token’ı doğrular

Burada kritik nokta:

Sunucu genellikle oturum saklamaz, sadece doğrular.

Avantajları

✔ Stateless (ölçeklenebilir)
✔ API ve mobil uygulamalar için ideal
✔ Mikroservis mimarisine uygun

Riskleri

⚠️ Çalınırsa süresi bitene kadar geçerlidir
⚠️ Güvenli saklanmazsa büyük risk oluşturur

Cookie – Session – Token Karşılaştırması

Hangisi Daha Güvenli?

Bu sorunun tek bir cevabı yok.

🔐 Doğru cevap şudur:

Kullanım senaryosuna göre doğru yapılandırılmış olan.

• Küçük bir web sitesi → Session

• Kurumsal web uygulaması → Session + Secure Cookie

• Mobil & API tabanlı sistem → Token (JWT)

Yanlış yapılandırılmış bir Token,
doğru yapılandırılmış bir Session’dan daha güvensiz olabilir.

En Büyük Hata: Mantığı Bilmeden Kullanmak

Birçok güvenlik açığı şuradan çıkar:

• Cookie’ye hassas veri koymak

• Session ID’yi şifrelenmemiş iletmek

• Token’ı localStorage’da korumasız tutmak

Oysa sorun teknoloji değil, bilinçtir.

Sonuç: Web Seni Hatırlıyorsa, Bir Sebebi Var

Bir web sitesi seni hatırlıyorsa:

• Ya tarayıcında bir cookie vardır

• Ya sunucuda sana ait bir session tutuluyordur

• Ya da cebinde (istemcinde) bir token taşıyorsundur

Gerçek güvenlik, bu yapıların nasıl çalıştığını bilmekle başlar.

Web güvenliğinde en büyük risk,
“çalışıyor” diye dokunulmayan sistemlerdir.

Cookie, Session ve Token’ı anlamak;
sadece geliştiriciler için değil,
dijital dünyada bilinçli olmak isteyen herkes için temel bir adımdır.