Session vs Token

💡 서비스를 구현하면 보통 로그인, 로그아웃, 회원가입 기능이 있기 마련입니다. 그러면 반드시 해야되는 것이 인증/인가에 대한 부분인데요, 인증/인가를 하기 위해 여러 방식들이 존재합니다. 대표적으로 대립되는 개념은 Token과 Session 인데요, 이번 포스팅에서 이 헷갈리는 두 개념! 뿌셔 살살 알아 보도록 하겠습니다.

왜 필요할까?

---

HTTP 프로토콜의 특성 중 하나는 무상태성(stateless)입니다. 그러면 로그인 페이지에서 로그인을 성공한 유저가 다시 HTTP 통신을 시도해도 (로그인을 했다는)상태를 갖고 있지 않기 때문에 로그인이 필요한 페이지는 다시 내가 로그인을 했다는 것을 입증해야 하는데요,

로그인 했어! 를 검사하는 것을 인증이라 하며 인증을 위해 탄생한 도구로 토큰, 세션 등이 있습니다 (+ 쿠키)

HTTP의 Stateless는 어디서 오는가
HTTP의 무상태성은 HTTP의 또하나의 특성인 비연결성(Connectionless)에서 옵니다. 연결이 되어있지 않기에 자연스럽게 상태도 갖을 수 없게 된거죠.
아니❗ HTTP는 왜 클라이언트와 서버간의 연결을 포기(비연결성)하고 무상태성을 갖게 해서 세션, 토큰 이런 것들을 사용해야만 하는거야? 라고 질문을 하고싶기 마련입니다 (저만 그럴수도)
하지만 비연결성으로 갖게 되는 장점이 어마무시한데요, HTTP는 인터넷 상에서 수많은 클라이언트의 요청을 전달하는 프로토콜입니다. 그렇기 때문에 하나의 서버에 수많은 요청에 대한 연결을 유지하게 되면 엄청난 리소스가 발생하게 됩니다. 그렇기 때문에 리소스를 줄여 좀 더 많은 요청을 수월하게 받게 하기 위해 HTTP는 비연결성이란 특성을 갖게 된 것입니다.

그래서 Token, Session 뭐야?

---

• 인증을 위한 수단
• 상태를 기억하는 방법
• HTTP의 무상태성을 보완하기 위한 도구

위 3가지 개념이 Token, Session을 가장 잘 설명할 수 있을 것 같습니다. 그렇기 때문에 매 페이지마다 로그인을 하고 싶지 않다면, token이나 session은 꼭 필요한 요소라고 볼 수 있습니다.

뭐가 달라? (언제 쓰면 좋을까?)

---

개발자라면 여러가지 도구 및 수단이 있을 때 차이점을 명확하게 알고 적절하게 사용하는 것이 중요합니다. 세션과 토큰은 여러가지 차이점이 존재하는데요, 크게 상태 유무, 저장위치, 크기, 안정성, 확정성 측면에서 다뤄보도록 하겠습니다.

• 상태 유무
  • 세션 : stateful 서버
  • 토큰 : stateless 서버
• 저장 위치
  • 세션 : 데이터베이스 서버에 저장
  • 토큰 : 클라이언트에 저장
• 크기
  • 세션 : 크기가 작음
  • 토큰 : 크기가 큼
• 안정성
  • 세션 : 서버에 저장 되므로 비교적 안정적
    • but, 유효기간, HttpOnly, Secure 옵션을 쿠키에 담아 보안성을 높임
  • 토큰 : 웹 브라우저(local storage, cookie)에 저장되어 공격에 노출될 가능성이 높음
    • 민감 정보는 담지 않음.
    • 유효기간을 짧게 설정
      • 유효기간이 너무 짧으면 사용자가 번거로움
        • refresh token(발급) → 토큰 재발급용
• 확장성
  • 세션 : 다수의 요청에 따라 과부하가 거릴 수 있음.
    • 추가 서버가 필요하지만 이는 세션 관리가 어려워지게 함.
  • 토큰 : 세션 서버(DB etc)에 들릴 필요가 없으므로 다수의 요청이더라도 과부하가 덜함.

토큰 vs 세션에 대해서 질문을 한다면?

---

토큰 vs 세션에 대해서 공부를 하면서 받으면 당황했을 법한 질문들을 정리하겠습니다.

• 토큰은 stateless 서버에 쓰이고 세션은 stateful 서버에 쓰인다는데 뭔 말이죠?
• 토큰도 결국 db에 접근하는데 확장성 측면에서 토큰도 결국 스케일 아웃에서의 문제점이 발생하지 않을까요?
  • 이건 진행했던 프로젝트에서 refreshToken, accessToken을 나누지 않아 헷갈려서 생각하게된 질문인 것 같습니다. 😅 이 부분도 어떤 부분이 헷갈려서 저런 질문을 하게 되었는지 자세히 다뤄보도록 하겠습니다.
• 세션이 서버 확장 시 다루기 어렵고 복잡하다는데 CORS 와 관련되어서 설명해보시겠어요?

회고

---

맨날 세션, 토큰 들어만 보고 깊게 다뤄보지 않아서 잘 몰랐었는데 이번 포스팅을 통해 둘 간의 차이점을 확실히 짚어보게 된 것 같습니다.

다만 인증 방식 중 하나인 쿠키에 대해서도 다뤄봐야 더욱 심층적으로 HTTP를 통한 인증 수단에 대해 알아볼 수 있을 것 같아, 추후에 쿠키에 대한 내용도 보강할 예정입니다.

다음 포스팅에선 진행했던 프로젝트에서 적용해보았던 인증 방식과 혼합된 방식, 그리고 인증 기능의 성능 향상을 위해 리팩토링(Cache by Redis) 했던 경험을 진행해볼까 합니다 😤

참고문서

---

[인증/인가]Session(세션)과 Token(토큰)(JWT)의 차이점

Session 기반 인증과 Token 기반 인증

Cookie, Session, Token 의 차이점

인증 방식 : Cookie & Session vs JWT

What really is the difference between session and token based authentication

https://velog.io/@paulkim/Session-과-토큰을-이용한-유저-인증에-대해서

https://www.youtube.com/watch?v=tosLBcAX1vk

https://victorydntmd.tistory.com/286

https://velopert.com/2350

https://pomo0703.tistory.com/213