세션 기반
클라이언트 값작은 세션 ID
서버 상태세션 저장소가 사용자 상태를 보관
강제 로그아웃세션 삭제로 즉시 반영 가능
세션은 서버 저장소를 보고, JWT는 서명된 claim을 검증한다
JWT가 무상태처럼 보이더라도 로그아웃, 권한 회수, 탈취 대응을 하려면 다시 운영 상태가 필요해진다.
JWT 기반
클라이언트 값claim과 서명을 포함한 토큰
서버 상태access token 검증은 저장소 없이 가능
운영 부담만료 전 무효화에는 차단 목록이나 token version 필요
즉시 권한 회수와 탈취 대응이 필요하면 짧은 만료, refresh token, 차단 목록, 세션 버전 같은 운영 장치를 함께 설계한다.