cookie 값과 로그인 상태는 다른 곳에 산다

client에는 추측하기 어려운 ID만 두고 권한·만료·폐기는 공유 session store가 소유한다.

1. Browser cookie

opaque raw token

2. HTTPS request

조건에 맞을 때 자동 첨부

3. Session store

token hash와 member·expiry

4. Application

검증된 member identity만 사용