세션 인증과 JWT 인증의 차이

241124

 

세션 인증

• 서버 기반: 세션 인증은 서버에서 세션 정보를 관리(저장)한다. 사용자가 로그인하면 서버는 세션을 생성하고, 이를 클라이언트에 세션 ID로 전달한다.➡️ 서버에 저장되는 데이터가 많아 부하
• 상태 유지: 서버는 세션 정보를 유지하므로 상태를 관리할 수 있다. 사용자가 로그아웃하면 서버에서 세션을 삭제한다. ➡️ 클라이언트에서 세션 ID가 탈취될 경우 서버에서 즉각적인 대처 가능
• 보안: 세션 ID는 쿠키를 통해 클라이언트에 저장되며, HTTPS를 통해 전송되는 것이 일반적이다. CSRF 공격에 취약할 수 있다. ➡️ CSRF토큰을 이용해 변조, 탈취 등에 대한 보안적 대처 가능
  
  

JWT 인증

• 클라이언트 기반: JWT는 클라이언트 측에 토큰을 저장한다. 사용자가 로그인하면 서버는 JWT를 생성하여 클라이언트에 전달한다. ➡️ 서버에 부하가 적다.
  
  
• 무상태: JWT는 자체적으로 정보를 담고 있기 때문에 서버는 상태를 유지할 필요가 없다. 서버는 JWT를 검증하기만 하면 된다. ➡️ 블랙리스트를 통한 리프레쉬 토큰의 유효성 확인(서버에 부하 & CPU자원소모), 토큰 크기가 크기 때문에 네트워크 전송 시 부하 
  
  
• 보안: JWT는 서명되어 있어 변조를 방지한다. 그러나 토큰(특히 액세스 토큰)이 유출되면 보안에 취약해질 수 있다.
            ➡️ 보완 법은 액세스 토큰의 유효기간을 짧게 잡는다. 하지만 토큰을 탈취당한 후 액세스 토큰의 유효기간 동안에는 즉각적인 대처방안이 없다. 리프레쉬 토큰의 경우에는 블랙리스트를 통한 대처가 가능하다.