session vs JWT
세션은 서버 조회, JWT는 서명과 claim 검증이 중심이다
두 방식 모두 인증 정보를 운반하지만 신뢰 경계가 다릅니다. 세션은 저장소 조회, JWT는 서명과 claim 검증이 핵심입니다.
세션은 즉시 폐기와 권한 반영이 쉽다
JWT는 분산 검증이 쉽지만 회수 비용이 있다
둘 다 쿠키나 Authorization 헤더로 운반될 수 있다
Session 세션 기반
브라우저sid=7f... 같은 작은 식별자만 전송
서버Redis/DB/메모리에서 사용자 상태 조회
강점강제 로그아웃, 권한 변경, 만료 처리가 직접적
부담다중 서버 환경에서는 저장소 공유가 필요
JWT 토큰 기반
Headertyp, alg
Payloadsub, role, exp
Signature무결성 검증
검증허용 알고리즘, 서명, 만료, issuer, audience
주의Payload는 서명되어도 기본적으로 비밀 저장소가 아님
회수만료 전 무효화에는 차단 목록이나 버전 관리가 필요
실무 기준
“세션은 낡고 JWT는 항상 확장성이 좋다”가 아니라, 즉시 회수·권한
변경·서비스 분산·토큰 크기·키 관리 요구를 함께 보고 고릅니다.