?

Session 방식을 보완하려고 JWT가 등장하였는데 JWT를 쓰면 Sessiond를 아예 사용안하는 것인지? Session이란 게 없으면 클라이언트와 서버 간의 토큰 발급 전 처음 클라이언트를 어떻게 확인하는지 궁금했는데 Spring Security를 사용하면서 JWT 사용 간에 Session 처리하는 부분을 발견 해서 분석

JWT 사용간 Session 관리

Request 인증 절차

Spring Security Session 처리

http

.sessionManagement()

 .sessionCreationPolicy( SessionCreationPolicy.정책상수)

SessionCreationPolicy.ALWAYS

스프링시큐리티가 항상 세션을 생성

SessionCreationPolicy.IF_REQUIRED

스프링시큐리티가 필요시 생성(기본)

SessionCreationPolicy.NEVER

스프링시큐리티가 생성하지않지만, 기존에 존재하면 사용

SessionCreationPolicy.STATELESS

스프링시큐리티가 생성하지도않고 기존것을 사용하지도 않음              JWT 같은토큰방식을 쓸때 사용하는 설정