세션 vs JWT: 상태 기반 vs 상태 비저장 인증 방식의 근본적 이해

핵심 기술

이 글은 사용자 인증 방식으로서 세션(Session)과 JSON Web Token(JWT)을 단순한 도구의 차이가 아닌, '상태 기반(Stateful)' 대 '상태 비저장(Stateless)'이라는 근본적인 철학의 차이로 설명하며 IT 개발자들에게 깊이 있는 통찰을 제공합니다.

기술적 세부사항

• 상태 기반(Stateful) 통신: 서버가 클라이언트를 기억하고 식별자(예: 세션 ID)를 통해 사용자 정보, 역할, 권한 등을 관리합니다. 재요청 시 서버는 저장된 정보를 바탕으로 사용자를 즉시 인식합니다.
• 세션 (Session):
  • 사용자 로그인 시 서버는 고유한 세션 ID를 생성하여 데이터베이스나 메모리에 사용자와 관련된 정보와 함께 저장합니다.
  • 브라우저는 이 세션 ID를 담은 쿠키(Cookie)를 받고, 모든 요청 시 자동으로 이 쿠키를 서버에 전송합니다.
  • 서버는 세션 ID를 확인하여 저장된 사용자 정보를 조회하고 요청을 처리합니다. 이는 서버가 사용자의 상태를 계속 추적함을 의미합니다.
  • 주로 단일 서버 환경에서 효과적이지만, 수평적 확장에 어려움이 있습니다.
• 상태 비저장(Stateless) 통신: 서버는 이전 요청에 대한 어떠한 기억도 하지 않으며, 모든 요청마다 클라이언트가 자신을 재소개해야 합니다.
• JWT (JSON Web Token):
  • 자체 포함(Self-contained)된 정보 조각으로, 사용자 정보와 기타 데이터를 포함합니다.
  • 서버만이 아는 비밀 키(Secret Key)로 서명(Signed)됩니다.
  • 서버는 토큰을 데이터베이스에서 조회하는 대신, 서명 유효성(서버 비밀 키로 서명되었는지), 만료 여부, 데이터 무결성만을 검증합니다.
  • 서버는 사용자의 상태를 전혀 저장할 필요가 없어 상태 비저장(Stateless) 아키텍처를 지원합니다.
  • 확장성이 뛰어나며, 여러 서비스 간의 통신에 유리합니다.

개발 임팩트

• 세션은 구현이 비교적 간단하고 단일 서버 환경에서 편리하나, 서버 부하 증가 및 확장성 제약이 있습니다.
• JWT는 서버 확장성 및 분산 시스템에 유리하며 클라이언트의 상태 관리를 단순화하지만, 토큰 탈취 시 보안 위험 및 토큰 크기 증가 가능성이 있습니다.
• 각 방식은 시스템의 아키텍처, 확장 요구사항, 보안 전략에 따라 신중하게 선택되어야 합니다.

커뮤니티 반응

원문은 커뮤니티 반응을 직접적으로 언급하지 않지만, 세션과 JWT에 대한 논의는 개발 커뮤니티에서 매우 활발하며 각 기술의 장단점에 대한 다양한 의견이 존재함을 시사합니다.