로그인 상태를 유지하기 위한 대표적인 기술인 '세션(Session)'과 'JWT(JSON Web Token)'의 내부 동작 원리를 비교하여 설명해 주세요

세션 (Session): "서버가 장부에 적어두고 기억"

• 원리: 유저가 로그인하면 서버가 자기 메모리나 DB에 유저 정보를 적어두고, 클라이언트한텐 무작위 번호표(Session ID)만 줌. 다시 요청할 때 번호표 보여주면 서버가 장부 뒤져서 누군지 확인함.

• 장점: 서버 맘대로 기록을 지워버릴 수 있어서 강제 로그아웃 등 보안 통제가 쉬움.

• 단점: 접속자 많아지면 서버 메모리 꽉 참. 서버 여러 대로 늘리기(확장)도 힘듦.

JWT (JSON Web Token): "고객이 위조 방지 출입증을 들고 다님"

• 원리: 유저가 로그인하면 서버는 따로 저장 안 함. 대신 유저 정보에 '위조 불가 도장(전자 서명)'을 찍어서 토큰을 만들고 클라이언트한테 줘버림. 다시 요청할 때 토큰 보여주면 서버는 장부 확인할 필요 없이 도장이 진짜인지만 검사함.

• 장점: 서버가 기억할 게 없어서 부담이 적고, 서버 대수 늘리기(확장성) 엄청 좋음.

• 단점: 한 번 발급해 준 토큰은 만료될 때까지 서버가 강제로 취소(강제 로그아웃)하기 어려움.