http는 클라이언트와 서버가 요청과 응답을 주고 받으면 연결을 끊어버리고 상태 정보를 저장하지 않는다 그래서 사용자 인증을 하기 위해 쿠키, 세션, JWT 같은 것을 이용한다.
쿠키는 클라이언트에 저장되는 키와 밸류로 이루어진 데이터로 인증 시간이 될때까지 클라이언트가 종료되어도 유지가 된다.그러나 인증 정보를 클라이언트가 가지고 있기 때문에 보안에 취약해 민감하지 않은 정보만을 저장한다.
세션은 쿠키를 기반으로 하지만 사용자 정보를 서버에 저장하고 클라이언트를 구분하기 위해 ID를 부여하고 클라이언트가 종료될때까지 유지한다. 단점은 서버에 정보를 저장하기에 사용자가 많아지면 서버에 부하가 걸린다
JWT는 제이슨 웹 토큰으로 헤더(암호화 방식), 페이로드(유저 정보), 서명 확인(헤더+페이로드+시크릿키)로 이루어져있다.따로 저장하지 않고 복호화를 통해 확인만 하면 되서 서버에 부담이 적지만 한번 발급한 JWT는 삭제할 수 없어 탈취 당할 경우 위험하다.이건 리프레쉬토큰을 이용하여 해결 할 수 있다.