로그인 상태를 유지하기 위한 대표적인 기술인 '세션(Session)'과 'JWT(JSON Web Token)'의 내부 동작 원리를 비교하여 설명해 주세요

프로젝트 로그인 구현 시 서버가 여러 대로 늘어날(Scale-out) 상황을 대비해 세션과 JWT를 비교했습니다.

세션(Session)은 서버에 저장되어 안전하지만, 트래픽 분산 시 서버 간 세션 불일치로 로그아웃되는 치명적인 문제가 있습니다.

반면 JWT는 서버 확장에 매우 유리한 방식이지만, 토큰이 한 번 탈취당하면 서버에서 강제로 만료시킬 수 없다는 단점이 있습니다.

저희 팀은 프론트와 백엔드가 분리된 환경을 고려해, 서버 확장에 유리한 JWT 방식을 최종 도입하기로 했습니다.

단, 보안 취약점을 막기 위해 수명이 짧은 Access Token과 수명이 긴 Refresh Token을 조합해 안전하게 설계할 예정입니다!