세션

[인증/인가]세션과 토큰의 차이

HTTP프로토콜은 무상태 프로토콜로 이전과 이후의 통신상태와는 독립적으로 사용된다. 하지만 무상태 프로토콜을 이용하지만 로그인 유지 같은 사용자의 상태를 포함해야하거나 인가가 필요한 상황에서는 세션을 사용하거나 토큰을 HTTP Request Header 내에 넣어 사용한다. 위치 둘 다 인증(로그인)시에 생성되고 중요한 것은 저장이 되는 위치이다. 세션 로그인 성공 시에 해당 유저의 세션을 서버에서 저장하고, 클라이언트에게는 세션id를 넘겨준다. 이후에 로그인이 필요한 서비스에 접근할 때(인가)는 HTTP Request의 헤더에 세션 id를 추가해서 보내고, 서버는 관리중인 세션중에 넘겨받은 세션id와 일치하는 세션이 있다면 세션의 Role을 확인하고 접근을 허가한다. 토큰 로그인 성공 시에 서버는 해당..