둘 모두 session이라는 이름이 붙어 있어서 개념이 제대로 정립되지 않았다.
심지어 express-session 모듈을 통해 먼저 session 기반 인증이라는 개념을 접했기 때문에 session이 어떤 식으로 작동하는지 눈에 보이는 것이 없어 매우 헷갈렸었다.
그러다가 다음과 같은 블로그와 마주쳤다.
어쩌다 마주친 블로그
이분은 cookie-parser부터 express-session의 세션 관리 기능까지 스스로 구현하셨다.
이때 딱 깨달았다.
SSL에서의 session과 session 기반 인증의 session은 다르구나!
그래서 검색해보았다.
역시 달랐다.
오늘의 결론
express-session은 별것이 아니며 session 기반 인증도 충분히 혼자 구현해 낼 수 있는 것이다. 그냥 서버가 클라이언트 요청에 따라 특정 id를 만들고, 그것에 보안적 기능을 추가하여 (express-session 모듈이 그것을 보안을 어떻게 추가하는지는 알지 못한다. 미래의 내가 알려주겠지) 다루는 것이다.
