로그인 등의 인증은 리소스의 접근 권한이 달라진다라는 것을 의미한다.
만약, 옷을 구매하기 위해 쇼핑몰에 로그인을 하고 옷을 장바구니에 넣기 위한 인증 절차는 어떻게 될까?
로그인을 하고 나면, 장바구니에 옷을 넣기 위해 우린 또 로그인을 할 필요가 없다.
이는 "인증에 성공했음"을 서버가 알고 있기 때문이다.
이를 위해 서버와 클라이언트에 각각 필요한 것이 다음과 같다.
1. 서버는 사용자가 인증에 성공했음을 알고 있어야 한다.
2. 클라이언트는 인증 성공을 증명할 수단을 갖고 있어야 한다.
사용자가 인증에 성공한 상태는 "세션" 이라고 부른다.
서버는 일종의 저장소에 세션을 저장하는데,
주로 in-memory(자바스크립트 객체), 또는 세션 스토어(redis 등과 같은 트랜잭션이 빠른 DB)에 저장한다.
세션이 만들어지면, 각 세션을 구분할 수 있는 세션 아이디도 만들어지는데,
보통 클라이언트에 세션 성공을 증명할 수단으로써 세션 아이디를 전달한다.
이때 웹사이트에서 로그인을 유지하기 위한 수단으로 "쿠키" 를 사용하고,
쿠키에는 서버에서 발급한 세션 아이디를 저장한다.
즉,
세션 아이디(인증 성공 증명서(?))가 담긴 쿠키는 클라이언트에 저장되어 있으며,
서버는 세션을 저장하고 있고, 서버는 그저 세션 아이디로만 요청을 판단한다.