세션 기반 인증 & 토큰 기반 인증

세션 기반 인증 사용자가 로그인 하면 서버는 사용자의 정보를 바탕으로 세션을 생성하고, 이 세션에 대한 고유한 식별자인 세션 ID 를 클라이언트에게 반환한다. 클라이언트는 이 세션 ID 를 쿠키에 저장하고, 이후 요청마다 이 쿠키를 포함하여 서버에 전송한다. 서버는 세션 ID 를 사용하여 해당 사용자의 세션을 조회하고 인증 상태를 판별한다. 서버 측에서 사용자의 세션 정보를 유지 관리해야 하므로 상태를 유지한다. (stateful) 세션 정보를 서버 메모리에 저장하면 여러 서버 간의 세션 정보 공유가 어려울 수 있어 확장성에 제약이 생길 수 있다. CSRF 와 같은 공격에 취약할 수 있다. 토큰 기반 인증 사용자가 로그인하면 서버는 사용자의 정보를 바탕으로 토큰을 생성하고 반환한다. 클라이언트는 이 토큰..

2023.08.21