[Django] 세션(Session), 쿠키(Cookie), 토큰(Token), JWT(Json Web Token)?

세션, 쿠키, 토큰, JWT 이란 무엇인가?

 

세션(Session), 쿠키(Cookie), 토큰(Token), JWT(Json Web Token)은 인증과 권한 부여를 구현하기 위해 사용되는 다양한 방법 중 일부이다. 각각의 특징을 비교해보자!!

 

1. 세션(Session)

• 서버 측에서 인증 정보를 저장합니다.
• 쿠키(Cookie)를 이용해 클라이언트와 상호작용합니다.
• 클라이언트가 로그인을 시도하면 서버는 세션 ID를 발급하고, 이 세션 ID를 쿠키(Cookie)에 저장합니다.
• 클라이언트는 이후 요청 시, 이 쿠키(Cookie)를 서버에 보내며, 서버는 이 쿠키(Cookie)를 통해 세션 정보를 식별하고 인증을 수행합니다.

 

2. 쿠키(Cookie)

• 클라이언트 측에서 인증 정보를 저장합니다.
• 서버와 클라이언트 간의 상호작용에 사용됩니다.
• 클라이언트가 요청할 때마다, 요청 헤더에 쿠키(Cookie) 값을 포함시켜 서버에 전송합니다.
• 쿠키(Cookie)는 보안에 취약할 수 있으며, 쿠키(Cookie)를 탈취하여 다른 사람에게 사용될 수 있습니다.

 

3. 토큰(Token)

• 클라이언트 측에서 인증 정보를 저장합니다.
• 토큰(Token)은 서버에 저장되어 있으며, 클라이언트는 토큰(Token)을 이용하여 인증을 수행합니다.
• 클라이언트가 로그인을 시도하면 서버는 토큰(Token)을 발급하고, 이 토큰(Token)을 클라이언트에게 전달합니다.
• 클라이언트는 이후 요청 시, 요청 헤더에 토큰(Token) 값을 포함시켜 서버에 전송합니다.
• 토큰(Token)은 클라이언트 측에서 저장되기 때문에, 쿠키(Cookie)와 달리 보안에 강합니다.

 

4. JWT(Json Web Token)

• 클라이언트 측에서 인증 정보를 저장합니다.
• 토큰(Token)의 일종으로, JSON 포맷으로 인코딩된 토큰(Token)입니다.
• 서버가 토큰(Token)을 발급하고, 이 토큰(Token)을 클라이언트에게 전달합니다.
• 클라이언트는 이 토큰(Token)을 이용하여 인증을 수행합니다.
• JWT는 클라이언트 측에서 저장되기 때문에, 쿠키(Cookie)와 달리 보안에 강합니다. 또한, 토큰(Token)의 페이로드(Payload)에 데이터를 넣어 전송할 수 있습니다.

 

 

* 각 방식의 특징을 요약한 표 :

방식	특징
세션	서버 측에서 인증 정보를 저장함. 쿠키(Cookie)를 이용해 상호작용
쿠키	클라이언트 측에서 인증 정보를 저장함. 쿠키(Cookie)를 이용해 상호작용
토큰	클라이언트 측에서 인증 정보를 저장함. 보안에 강함
JWT	클라이언트 측에서 인증 정보를 저장함. 보안에 강함, 데이터 전송 가능

 

 

 

 

그럼 언제 어떤 방식을 사용해야 될까?

 

각 방식은 상황에 따라 사용할 수 있는 장단점이 있으며, 프로젝트의 요구사항에 따라 적합한 방식을 선택해야 한다. 

 

예를 들어, 웹 애플리케이션에서 로그인 기능을 구현할 때 세션(Session) 방식과 토큰(Token) 방식을 사용할 수 있다. 

세션 방식은 서버 측에서 인증 정보를 저장하므로 보안에 강하며, 서버 측에서 세션 관리를 하기 때문에 클라이언트 측에서는 별다른 처리를 하지 않아도 된다. 하지만 세션 방식은 서버 측에서 상태를 유지하기 때문에 서버 부하가 증가할 수 있다. 또한, 쿠키(Cookie)를 이용해 상호작용하므로 쿠키(Cookie)를 삭제하면 세션도 만료된다.

반면, 토큰 방식은 클라이언트 측에서 인증 정보를 저장하므로 서버 부하가 적으며, 토큰(Token)을 이용해 인증 정보를 전송하기 때문에 RESTful API와 같은 상황에서 유용합니다. 그러나 토큰(Token)을 해킹 당하면 인증이 무력화될 수 있으므로 보안에 취약할 수 있습니다. 따라서, 토큰(Token) 방식을 사용할 때는 보안을 강화하기 위해 HTTPS를 사용하거나 토큰(Token)의 만료 시간을 짧게 설정하는 등의 추가적인 보안 대책을 필요로 한다.