Set-Cookie → Cookie
쿠키는 상태가 아니라 상태를 찾는 조건부 단서다
서버는 Set-Cookie로 저장 조건을 내려보내고, 브라우저는 이후 요청에서 조건을 만족하는 쿠키만 Cookie 헤더에 포함합니다.
서버가 값과 속성을 지정한다
브라우저가 저장·전송 조건을 평가한다
서버가 세션 저장소에서 상태를 찾는다
1로그인 성공
Set-Cookie: sid=7f...;Path=/; HttpOnly 서버가 식별자와 전송 조건을 내려보냅니다.
→
2브라우저 저장
sid=7f...scope: host/path 쿠키 저장소에 값과 메타데이터를 함께 보관합니다.
→
3다음 요청
Cookie: sid=7f...
도메인, 경로, 보안 연결, SameSite 조건을 통과해야
전송됩니다.
→
4서버 조회
sid → userId, role,expiresAt 식별자를 믿기 전에 저장소와 만료 정책을 확인합니다.
클라이언트가 가진 것
대개는 세션 ID 하나
민감한 사용자 정보 전체를 쿠키에 넣기보다, 예측하기 어려운 식별자만 보관하는 방식이 흔합니다.
서버가 판단할 것
값, 만료, 권한, 폐기 상태
쿠키가 왔다고 곧바로 인증 완료가 아니라 서버 쪽 상태와 정책을 통과해야 합니다.