WEB · AUTH
세션 쿠키 vs JWT 요청 흐름 비교
세션과 토큰은 로그인 이후 식별 정보를 어디에 저장하고 매 요청에서 어떻게 검증하는지가 다릅니다.
핵심 구조
session token
login
credential 확인
session cookie
서버 저장소 ID를 쿠키로 전달
JWT
서명된 claim을 클라이언트가 보관
verify
요청마다 세션 조회 또는 서명 검증
login
→
session cookie
→
JWT
→
verify
판단 기준
check
세션
강제 로그아웃과 서버 제어가 쉽지만 저장소가 필요합니다.
JWT
무상태 검증이 쉽지만 만료와 폐기 전략이 중요합니다.
저장 위치
민감 토큰은 XSS와 CSRF 위험을 함께 고려합니다.
권한
인증된 사용자라도 역할 검증은 별도로 수행합니다.