Session vs Token

*모든 내용은 제 생각 + 참고 링크에서 가져왔습니다!

🔓 항상 자주 사용하던 방식, Session

대학교 3학년이 되며 본격적으로 "웹프로그래밍"과 "웹응용"이라는 강의를 수강했다.
다른 교수님이 수업을 하셨기 때문에, 결이 다르다는 느낌은 많이 받아오기는 했지만 그래도 기초를 잘 학습한 것 같다는 생각을 했다.
웹의 앞 단에 해당하는 HTML, CSS, JS를 배우고 서버 사이드와 앞 단을 왔다갔다하며 사용할 수 있는 PHP를 배웠다.
우선, 내가 하고 싶은 이야기는 내가 그동안 "왜" Session을 고집해왔는지이다.

• 쿠키, 세션...우리가 웹브라우저에 접속하면 흔하게 많이 들었던 단어다.

• 쿠키는 웹사이트 방문 시에 브라우저단에서 사용자 정보가 저장되는 내용이다.

• 쿠키는 보안에 취약하다(클라이언트 또는 해커가 탈취하기 아주 쉬움)는 아주 큰 문제가 있기 때문에 대부분은 세션 방식 혹은 토큰 방식을 사용한다.

• 세션은 서버단에서 사용자 정보를 저장하는 구조이다.

서버에서 저장한다는 장점도 있고, 확실히 쿠키보다 훨씬 안전하는 것을 알 수 있기에 계속해서 선택해왔다.

🤷‍♀️ 그럼 왜, 지금 프로젝트에는 세션 방식만을 적용하지는 않을 생각인건지?

이유는 생각보다 아주 단순하다.
세션 방식은 현재 내가 이 프로젝트를 위해 이루고자 하는 "대용량 트래픽"을 세션 방식으로는 서버를 무한히 늘리거나, 스티키 세션같은 방식을 선택할 수도 있겠지만 비용이 많이 드는 문제가 전혀 해결되지 않는다.
즉, 인증/인가 서버에 접속자가 폭발적으로 늘어날 경우 서버에 부하가 쉽게 발생하는데, 서버를 늘리는 방식은 너무 비효율적이라는 거다.

🔎 Token 방식!!

1. 토큰 기반의 인증 플로우(출처 : 상단에 표기)
   

2. JWT

• Token 방식 중에서도 JWT를 사용할 예정이다.
• JWT는 JSON Web Token의 약자로, 현재 나의 주력 언어인 Java에서도 사용이 가능하고 가장 널리 알려진 기술이기에 채택했다.
• Token 방식 자체를 결정한 것은 PHP를 잘 다루기 때문도 있었지만, 이번 프로젝트에서 새로운 프레임워크 "Sping" 프로젝트를 다뤄보기로 했기 때문에 Spring을 기반으로 JWT를 이용할 예정이다.

⚙️ 참고) Token 방식의 장단점?

이번 캠프에 참여하면서 가장 많이 들어온 말일 것이다.
IT에서는 모든 기술의 장단점이 있고, 장점이 명확한 만큼 단점도 명확하며 정답이 되는 기술은 있을 수 없다는 것.
그렇기에 분명 내가 선택한 Token 방식도 장단점이 존재할 것이다.
하지만, 현재의 내 선택은 Token의 장점을 활용해 팀 프로젝트의 목적에 맞는 개발을 하고자함에 있다.

그렇기 때문에 암호화 방식 정도만 계산해보며 이론적인 내용에 머물러 있던 '나'에서 Token 방식을 경험해보며 실제 구현에 적용할 수 있는 '나'가 될 것이다.

🎫 결론은?

• 기본 개발 시에 사용했던 Session 방식만을 도입할 경우, 다중 접속자 발생 시 서버 과부하에 대한 우려와 처리 비용 등의 다른 문제를 크게 고민하지 않고 사용할 수 있는 Token 방식을 사용하는 것으로 결정했다!!

끝!