세션(Session), 쿠키(Cookie), 토큰(Token)

1. 세션(Session)

• 세션의 작동 방식:
1. 사용자가 로그인하면 서버는 세션 ID를 생성하고, 이를 서버 메모리나 데이터베이스에 저장합니다.
2. 세션 ID는 클라이언트의 쿠키에 저장되거나 URL 매개변수로 전달될 수 있습니다.
3. 이후 클라이언트가 서버에 요청할 때 이 세션 ID를 함께 전송하면, 서버는 세션 ID를 확인하여 사용자의 상태를 유지합니다.
4. 사용자가 로그아웃하거나, 세션이 만료되면 서버는 해당 세션 ID를 삭제합니다.

• 장점:
• 서버 측에서 상태를 관리하므로, 클라이언트가 세션 정보를 조작할 수 없습니다.
• 사용자가 동일한 세션 내에서 여러 요청을 보내는 경우에도 일관된 상태를 유지할 수 있습니다.

• 단점:
• 서버 메모리에 많은 세션 정보를 저장해야 하므로, 서버 자원이 많이 필요할 수 있습니다.
• 부하가 많은 서버에서는 세션을 분산 관리하거나 외부 저장소를 사용해야 할 수도 있습니다.

2. 쿠키(Cookie)

• 쿠키의 작동 방식:
1. 서버가 클라이언트에 특정 데이터를 저장하도록 지시하면, 클라이언트는 이 데이터를 쿠키로 저장합니다.
2. 이후 클라이언트가 동일한 도메인에 요청을 보낼 때, 브라우저는 쿠키를 자동으로 요청 헤더에 포함시켜 전송합니다.
3. 서버는 쿠키 데이터를 확인하여 사용자를 식별하거나 인증 상태를 유지합니다.

• 장점:
• 간단하고 사용하기 쉬우며, 클라이언트 측에 데이터를 저장하여 서버의 부담을 줄일 수 있습니다.
• 만료 시간을 설정할 수 있어, 특정 기간 동안만 데이터를 유지할 수 있습니다.

• 단점:
• 쿠키 데이터는 클라이언트 측에 저장되므로, 사용자가 데이터를 조작할 수 있는 위험이 있습니다.
• 쿠키는 최대 4KB의 데이터만 저장할 수 있으며, 보안에 민감한 데이터는 쿠키에 직접 저장하는 것이 권장되지 않습니다.
• 클라이언트가 쿠키를 차단할 수 있으며, 쿠키 사용이 제한된 환경에서는 제대로 동작하지 않을 수 있습니다.

3. 토큰(Token)

• 토큰의 작동 방식:
1. 사용자가 로그인하면, 서버는 사용자의 정보를 기반으로 JWT와 같은 토큰을 생성합니다.
2. 클라이언트는 이 토큰을 저장하고, 이후 요청 시 HTTP 헤더(일반적으로 Authorization: Bearer <token>)에 포함시켜 서버에 전송합니다.
3. 서버는 받은 토큰을 검증하여 사용자를 인증하고, 요청을 처리합니다.

• 장점:
• 확장성: 토큰은 서버가 상태를 유지할 필요 없이, 분산된 환경에서도 작동합니다. 서버 간에 토큰을 공유할 필요가 없으므로, 클라우드 기반 애플리케이션에 적합합니다.
• 보안성: JWT는 암호화와 서명을 통해 위변조를 방지할 수 있습니다. 또한, 유효기간을 설정하여 보안성을 높일 수 있습니다.
• 유연성: 클라이언트는 서버가 아닌 다른 클라이언트나 서비스에서도 토큰을 사용할 수 있습니다.

• 단점:
• 토큰 크기: JWT는 비교적 크기 때문에, 요청 헤더의 크기가 커질 수 있으며, 네트워크 대역폭에 부담을 줄 수 있습니다.
• 토큰의 만료 관리: 토큰이 만료되었을 때, 새로운 토큰을 발급하거나, 갱신하는 절차가 필요합니다.
• 보안 위험: 토큰이 유출될 경우, 토큰이 만료되기 전까지는 누구나 이 토큰을 사용해 서버에 접근할 수 있습니다.

정리

• 세션은 서버 측에서 상태를 유지하고, 클라이언트는 세션 ID를 통해 서버와의 상호작용을 이어갑니다.

• 쿠키는 클라이언트 측에서 데이터를 저장하며, 주로 세션 ID를 저장하는 데 사용됩니다. 쿠키를 통해 사용자의 상태를 유지할 수 있습니다.

• 토큰은 클라이언트가 서버로부터 받은 인증 정보를 포함한 문자열로, 서버는 이 토큰을 검증하여 요청을 처리합니다. 토큰 기반 인증은 주로 클라우드 환경이나 분산 시스템에서 사용됩니다.