jwt, 쿠키, 세션, 토큰

---

세션 

서버가 Client에 유일하고 암호화된 ID를 부여

 

중요 데이터는 서버에서 관리

 

	설명	접속 상태 저장 경로	장점	단점
Cookie	쿠키는 단지 http의 stateless한 것을 보완해주는 도구	클라이언트	서버에 부담을 덜어준다.	쿠키 그 자체는 인증이 아니다.
Session	접속 상태를 서버가 가짐(stateless) 접속 상태와 권한 부여를 위해 세션아이디를 쿠키로 전송	서버	신뢰할 수 있는 유저인지 서버에서 추가로 확인 가능	하나의 서버에서만 접속 상태를 가지므로 분산에 불리

 

토큰 

세션기반 인증 = 서버(혹은 DB)에 유저 정보를 담는 방식
"이 부담을 클라이언트에게 넘겨줄 수 없을까?"에서 고안

 

대표적인 토큰 기반 인증 -> JWT(JSON Web Token)

토큰은 마패로 생각하자! (복잡한 문자열을 가지고 있는 마패!)

JWT: JSON 포맷으로 사용자에 대한 속성을 저장하는 웹 토큰

JWT는 Header / Payload / Signature로 이루어진다.
1) Header : 어떤 종류의 토큰인가? / 어떤 알고리즘으로 암호화 하는가?
2) Payload : 유저의 정보 / 권한을 부여 받았는가? / 기타 필요한 정보
3) Signature : Header, Payload를 base64인코딩한 값과 salt값의 조합으로 암호화된 값
aaaa[Header]aaaa.bbbb[Payload]bbbb.cccc[Signature]cccc

 

토큰 기반 인증의 장점

1) Statelessness & Scalability (무상태성 & 확장성)
- 서버는 클라이언트에 대한 정보를 저장할 필요 X
- 토큰을 헤더에 추가함으로 인증 절차 완료!

2) 안정성
- 암호화한 토큰을 사용
- 암호화 키를 노출할 필요 X

3) 어디서나 생성 가능
- 토큰을 생성하는 서버가 꼭 토큰을 만들지 않아도 됨

4) 권한 부여에 용이
- 토큰의 payload(내용물)안에 어떤 정보에 접근 가능한지 정의
- Ex) 사진과 연락처 사용권한 부여 / 사진 권한만 부여 / 연락처 권한만 부여

---