세션 쿠키와 JWT는 식별 정보를 보관하는 위치가 다르다

로그인 이후 서버가 세션을 조회할지, 클라이언트가 서명된 토큰을 보낼지에 따라 폐기와 확장 전략이 달라진다.

기준세션 쿠키JWT주의점
저장 위치서버 세션 저장소 + 쿠키 ID클라이언트가 서명 토큰 보관민감 정보는 토큰에 직접 넣지 않음
검증 방식요청마다 세션 조회서명과 만료 시간 검증권한 검증은 별도 수행
폐기서버에서 즉시 무효화 쉬움만료·블랙리스트 전략 필요로그아웃 정책을 정해야 함
확장세션 공유 저장소 필요무상태 검증으로 분산에 유리토큰 탈취 대응 필요
공격면CSRF와 쿠키 설정XSS와 저장 위치SameSite, HttpOnly, HTTPS 필수

세션과 JWT의 선택은 저장 위치보다 폐기, 확장, 공격 표면을 함께 보는 인증 설계 문제다.