session vs token

회원기능을 구현하다가 두 가지 방식의 차이가 궁금해서 검색해봤다가 찾은 영상을 간단히 정리해봤다!

stateless

JWT문제

문제 1 ) alg : "none"으로 설정 XXX!! "HS256"으로 설정!!!

문제 2 ) decoding이 매우 쉬움! 따라서 민감한 정보는 뺴고 최소한의 정보만!!!

문제 3 ) 위조할 수 없도록 시크릿키를 어렵게 설정하고, 유출되지 않게 잘 관리해야 함!

문제 4 )
jwt가 탈취당할 수 있음!!