맞왜틀

쿠키 기반 인증 vs JWT, 그리고 CSRF까지 완벽 정리요즘 프론트엔드 개발을 하다 보면, JWT 인증과 쿠키 기반 인증을 모두 접하게 됩니다. 처음에는 “JWT는 토큰이라서 안전하고, 세션은 옛날 방식 아닌가?” 하는 오해가 생기기 쉬운데요. 이번 글에서는 두 방식의 차이부터, 실제 서비스에서 고려해야 하는 보안 이슈(CSRF, HttpOnly, SameSite)까지 정리해보려 합니다.1. 쿠키, 세션, JWT 기본 개념1-1. 세션 기반 인증서버가 로그인 요청을 받으면, 해당 유저 정보를 세션 저장소(메모리, Redis 등)에 저장하고 세션 ID를 브라우저 쿠키로 내려줍니다.Set-Cookie: sessionId=abc123; HttpOnly; Secure;이후 요청마다 브라우저는 자동으로 ..

📔쿠키와 세션을 왜 사용할까? HTTP의 특징인 Connectionless 와 Stateless 를 보완하기 위해서 사용합니다. 😁HTTP 특징 보러 가기 📔쿠키와 세션의 차이 쿠키와 세션의 차이는 크게 4가지로 나눌 수 있습니다. 저장 쿠키는 로컬에 세션은 서버에 저장됩니다. 보안 쿠키는 로컬에 저장되어 있기 때문에 탈취나 위변조가 가능합니다. 하지만 세션은 로컬에 세션ID값만 저장되어 있고 실제 정보는 서버에 있기 때문에 상대적으로 안전합니다. 속도 쿠키는 로컬에서 파일로 바로 읽기 때문에 상대적으로 속도가 빠르고, 세션은 서버에 요청을 해서 정보를 받아와야 하기 때문에 상대적으로 느립니다. 라이프 사이클 쿠키는 만료일을 정해서 브라우저를 종료해서 남아있을 수 있습니다. 반면에 세션은 브라우저가 종료..