세션 쿠키와 JWT는 식별 정보를 보관하는 위치가 다르다
로그인 이후 서버가 세션을 조회할지, 클라이언트가 서명된 토큰을 보낼지에 따라 폐기와 확장 전략이 달라진다.
| 기준 | 세션 쿠키 | JWT | 주의점 |
|---|---|---|---|
| 저장 위치 | 서버 세션 저장소 + 쿠키 ID | 클라이언트가 서명 토큰 보관 | 민감 정보는 토큰에 직접 넣지 않음 |
| 검증 방식 | 요청마다 세션 조회 | 서명과 만료 시간 검증 | 권한 검증은 별도 수행 |
| 폐기 | 서버에서 즉시 무효화 쉬움 | 만료·블랙리스트 전략 필요 | 로그아웃 정책을 정해야 함 |
| 확장 | 세션 공유 저장소 필요 | 무상태 검증으로 분산에 유리 | 토큰 탈취 대응 필요 |
| 공격면 | CSRF와 쿠키 설정 | XSS와 저장 위치 | SameSite, HttpOnly, HTTPS 필수 |
세션과 JWT의 선택은 저장 위치보다 폐기, 확장, 공격 표면을 함께 보는 인증 설계 문제다.