SEB Section 3 Session

서버에서 유저의 아이디, 비밀번호를 전달 받고 인증의 과정을 거쳐 로그인에 성공 했다고 가정하자. 로그인 이후 또 인증이 필요한 과정이 생긴다면 다시 인증의 과정을 거쳐야 할까? 아니다. 이미 서버에서 “인증의 성공했음”을 알고 있기 때문에, 매번 로그인 하는 과정은 필요 없다.

인증에 따라 리소스의 접근 권한이 달라진다.

이때 서버와 클라이언트는 필요한 것이 있다.

• 서버는 사용자가 인증에 성공했음을 알고 있어야 한다.
• 클라이언트는 인증 성공을 증명할 수단을 갖고 있어야 한다.

Session

사용자가 인증에 성공한 상태를 세션이라 부른다. 서버는 일종의 저장소에 세션을 저장한다. 세션이 만들어지면, 각 세션을 구분할 수 있는 세션 아이디도 만들어 지는데, 클라이언트에 세션 성공을 증명할 수단으로써 세션 아이디를 전달한다.

이때 웹사이트에서 로그인을 유지하기 위한 수단으로 쿠키를 사용하게 된다. 쿠키에는 서버에서 발급한 세션 아이디를 저장한다.

단점

• 서버 저장 메모리 차지
• XSS 공격으로 인한 세션 쿠키 탈취 가능성

이러한 단점을 보완하기 위해 토큰이 나왔다.