cookie는 응답에서 저장되고 다음 요청에 되돌아온다

browser가 scope와 수명을 확인해 opaque session ID를 자동으로 Cookie header에 넣는다.

1. Login POST

credential을 현재 요청으로 전송

2. Set-Cookie

token과 Secure·HttpOnly·SameSite

3. Browser store

host·path·expiry 조건 보관

4. 다음 GET

Cookie header로 opaque ID 전달