BBiBBi - 세션이냐 JWT이냐 그것이 문제로다

(궁금하면 눌러보자 JWT하며 업그레이드임)

https://215-coding.tistory.com/42 [JWT] 토큰 인가 및 토큰 재발급 관련 트러블슈팅📝 배경 본 프로젝트 (삐삐:Best Interior)에서는 서버가 클라이언트를 인증하는 방식 중 하나인 JWT를 이용하여 로그인 기

ernest45.tistory.com

BBiBBi 프로젝트를 할 당시 나는 인증과 인가 업무를 위주로 했다.

Spring security 로그인에서의 프론트 담당자와의 많은 이야기가 나왔다..

로그인 정보를 jwt로 구현할 것인가 ? session으로 구현할 것인가?

이야기 나온 과정에서 익숙한 session이냐 도전적인 jwt이냐에 대한 고민은 좀 더 정보를 찾아본 후

우리에게 맞는 상황의 로그인 방식을 선택한 과정을 기록하는 글이다.

세션은 서버 측에서 사용자 인증 정보를 저장하고 관리하는 전통적인 방식

사용자가 로그인하면 서버는 고유한 세션 ID를 생성

프론트에게 쿠키로 전달

이후 클라이언트는 요청마다 이 세션 ID를 서버에 전송하여 인증 상태를 유지함

세션의 장점

세션의 단점

JWT는 클라이언트 측에서 사용자 인증 정보를 포함하는 토큰 기반 인증 방식

JWT는 Header, Payload, Signature로 구성된 문자열로

서버는 이를 발급한 후 클라이언트가 요청 시마다 토큰을 전송하여 인증을 확인

JWT의 장점

JWT의 단점

보안 취약점: JWT는 클라이언트에 저장되므로, XSS 공격으로 토큰이 탈취될 가능성이 있습니다. 또한, 토큰 자체를 무효화하기 어렵습니다(서버에서 블랙리스트를 관리해야 함).
토큰 크기: Payload에 많은 정보를 포함할수록 토큰 크기가 커져 네트워크 부하가 증가할 수 있음
복잡한 관리: 만료 시간 관리, 리프레시 토큰 구현, 서명 키 관리 등 추가적인 작업이 필요함