세션 기반 인증과 토큰 기반 인증은 웹 및 애플리케이션의 사용자 인증 방법을 나타내는 두 가지 다른 접근 방식입니다.
-
세션 기반 인증(Session-Based Authentication) :
세션 기반 인증은 서버 측에서 사용자의 인증 정보를 유지하고, 각 사용자마다 서버에 세션을 생성하고 관리합니다.
사용자가 로그인하면 서버는 해당 사용자의 세션을 생성하고, 클라이언트에게 세션 ID를 부여합니다. 세션 ID는 쿠키나 URL 파라미터를 통해 전달됩니다.
서버는 세션 ID를 사용하여 사용자를 식별하고, 해당 세션에 저장된 정보를 활용하여 인증 상태를 유지합니다.
주로 서버 측에서 상태를 관리하기 때문에 서버의 부하가 발생할 수 있으며, 분산 시스템에서 상태 공유 문제가 발생할 수 있습니다. -
토큰 기반 인증(Token-Based Authentication) :
토큰 기반 인증은 사용자의 인증 정보를 토큰으로 생성하고, 이 토큰을 클라이언트에게 전달하여 인증을 유지합니다.
사용자가 로그인하면 서버는 사용자 정보와 함께 암호화된 토큰을 생성하여 클라이언트에게 전달합니다.
클라이언트는 토큰을 저장하고, 각 요청에 토큰을 포함시켜 서버에 전달합니다.
서버는 토큰을 해독하고 검증하여 사용자를 인증하며, 상태를 클라이언트에 의존하지 않습니다.
토큰은 클라이언트 측에서 저장되기 때문에 서버의 부하가 감소하고, 분산 시스템에서도 쉽게 확장할 수 있습니다.
주요한 차이점
세션 기반 인증은 서버 측에서 상태를 관리하고, 토큰 기반 인증은 클라이언트 측에서 상태를 관리합니다.
토큰 기반 인증은 RESTful API 등에서 더 유용하며, 분산 시스템과 모바일 애플리케이션에서 장점을 가집니다.
세션 기반 인증은 CSRF(Cross-Site Request Forgery) 공격에 노출될 수 있지만, 토큰 기반 인증은 이에 대한 방어가 내재되어 있습니다.
토큰 기반 인증은 SSO(Single Sign-On) 시스템과 더욱 잘 통합될 수 있습니다.
각각의 접근 방식은 상황에 맞게 선택되며, 어떤 방식을 사용할 것인지는 보안, 확장성, 사용자 경험 등 다양한 요소를 고려하여 결정되어야 합니다.
핵심 키워드
- 저장 위치의 차이
- 확정성
- 보안 취약점
- 사용할 때 유의해야 할 점
