🔐 세션 기반 인증과 토큰 기반 인증의 차이점과 보안 고려사항에 대해 알아보자 ❗

• 사용자 인증은 웹 애플리케이션 보안에서 핵심이다.
• 특히 세션 기반 인증과 토큰 기반 인증은 가장 일반적으로 사용되는 두 가지 방식으로 이번 시간에 두 방식의 차이점과 보안적으로 고려해야할 사항에 대해 알아보자 ❗

---

💼 세션 기반 인증

• 서버가 사용자의 로그인 상태를 세션 객체로 저장하고, 클라이언트는 세션 ID를 쿠키에 담아 요청할 때마다 서버로 전송하는 방식입니다.

• 인증 Flow 🌊

  • 1️⃣ 사용자가 로그인 -> 서버에서 세션 생성
  • 2️⃣ 세션 ID를 쿠키에 담아 클라이언트에 전달
  • 3️⃣ 이후 요청 시 쿠키를 통해 세션 ID 전송 -> 서버가 세션 정보 확인

• 장점 👍

  • 구현이 비교적 간단하고, 오래된 방식이므로 잘 갖춰진 생태계를 갖춤
  • 서버가 세션 상태를 관리하므로 제어 및 만료처리가 용이함.

• 보안 고려사항 ⚠

  • 세션 탈취 : 쿠키를 가로채면 다른 사람이 세션을 사용할 수 있다.
  • CSRF : 쿠키가 자동 전송되기 때문에 취약할 수 있음 -> CSRF 토큰 필요
  • 서버 메모리 부담 : 세션을 메모리에 저장하면 서버 부하가 커질 수 있음

---

🎫 토큰 기반 인증

• 사용자가 로그인하면 서버는 인증 정보를 담은 JWT( Json Web Token ) 등의 토큰을 생성하여 클라이언트에 전달하고, 클라이언트는 이후 요청마다 해당 토큰을 HTTP 헤더에 담아 전송한다.

• 인증 Flow 🌊

  • 1️⃣ 사용자가 로그인 -> 서버가 JWT 토큰 발급
  • 2️⃣ 클라이언트는 토큰을 로컬스토리지나 메모리에 저장
  • 3️⃣ 이후 요청 시 Authorization 헤더에 토큰을 포함하여 전송

• 장점 👍

  • 무상태( Stateless ) : 서버가 세션 상태를 저장하지 않아 확장성에 유리
  • Cross - Origin 지원이 용이 : 토큰은 쿠키에 의존하지 않기 때문에 API 서버와 클라이언트가 분리되어도 좋다.
  • 모바일 앱과의 호환성이 좋음

• 보안 고려사항 ⚠

  • 토큰 탈취 : 클라이언트 저장소에서 탈취될 위험이 존재한다 -> XSS 방지 필요
  • 토큰 유효기간 관리 : 유효기간이 너무 길면 위험, 짧으면 사용자 불편 -> Refresh 사용 권장
  • 서버에서 토큰 무효화 어려움 : 서버가 상태를 저장하지 않으므로 토큰은 즉시 만료시키기 어렵다.

  즉, 서버는 해당 사용자가 로그인했는지를 기억하지 않고, 요청 하나하나가 스스로 인증 정보를 증명한다.

---

🔍 세션 Vs 토큰 비교표

구분	세션 기반 인증	토큰 기반 인증
상태관리	상태 저장 ( 서버 메모리 / DB / Redis 등 )	무상태 (Stateless)
확장성	서버 확장 어려움	서버 확장 용이
저장위치	세션 ID: 쿠키	토큰: 메모리 / HttpOnly 쿠키 / 로컬스토리지 (선택에 따라 보안 특성 달라짐)
인증정보 유지	서버에 유지	토큰 자체에 내포
CSRF 취약성	존재 (쿠키 사용)	Authorization 헤더 사용 시 영향 적음 (쿠키 기반 저장 시 주의 필요)
XSS 취약성	상대적으로 적음	저장 방식에 따라 취약
로그아웃 처리	세션 삭제	어렵다 (블랙리스트 필요)

---

🔒 상황에 따른 인증 방식 선택

• 단일 서버 + 웹 애플리케이션 : 세션 기반 인증이 관리하기 용이
• 모바일 앱 + REST API or 마이크로서비스 아키텍처 : 토큰 기반 인증이 확장성 면에서 유리

---

📃 보안 체크리스트 요약

항목	세션 기반 인증	토큰 기반 인증
세션 탈취 대응	HTTPS + Secure 쿠키 + SameSite 설정	HTTPS + 짧은 토큰 유효기간 + Refresh Token 사용
CSRF 방지	CSRF 토큰 + SameSite 쿠키	토큰을 쿠키에 저장하지 않으면 영향 적음
XSS 방지	쿠키의 httpOnly 설정	로컬스토리지 사용 시 XSS 방어 강화 필요
로그아웃 처리	세션 무효화	토큰 블랙리스트 또는 만료 대기

---

마무리 🔚

세션 기반과 토큰 기반 인증은 각각의 장단점이 있으며, 사용하는 환경과 서비스 구조에 따라 적절한 방식을 선택하는 것이 중요하다.
무엇보다도 보안에 대한 고려 없이 인증 방식을 선택하는 것은 좋지 못한 선택이며, 각 방식에 맞는 적절한 보안 대책을 오늘 익힌 것을 토대로 설계하도록 하자 💯