로그인 상태를 유지하기 위한 대표적인 기술인 '세션(Session)'과 'JWT(JSON Web Token)'의 내부 동작 원리를 비교하여 설명해 주세요

세션

서버가 기억하는 방법

서버가 로그인 요청을 받으면, 세션 ID를 만들고, 쿠키를 발급해서 보냄

사용자 쪽이 서버에 요청을 하면, 쿠키에 담긴 세션ID가 서버로 와서 이걸로 식별해서 처리하는 방식

실제 정보는 서버가 보관하고 있으니까, 보안상 유리하고, 로그아웃 시키는거 같은 관리도 용이

근데 서버가 커야하니까 도닝 만이 들고, 구조도 복잡해짐.

JWT

필요한 정보를 사용자가 토큰으로 가지고 있는 방법

서버는 요청이 오면 보내놓은 토큰 내용을 다시 전송받아서 서명을 검증해서 시간이 안지나고, 서명이 유효하면 처리하는 방식

서버 확장도 쉽고, MSA 환경에서 이용하기 좋고 그런데

토큰 털리면 권한이 다 털리는 약점이 있고, 이걸 서버에서 차단하거나 막기 어려움