TL;DR

<aside> 💡 Authentication은 인증(서버의 유저인지), Authorization은 권한부여(특정한 행동 허용)

</aside>

• 쿠키: HTTP 프로토콜의 무상태성(Stateless)을 보완하는 도구. 상태 정보는 클라이언트에 저장하고, HTTP 요청 시 서버로 자동 전송됨. 보안에 취약. 용량은 4kb 정도로 제한. 주로 사용자 설정을 유지에 사용됨.

• 세션: 서버에서 클라이언트의 상태 정보를 유지하기 위한 방법. 서버는 클라이언트에 세션 ID를 부여하고, 쿠키에 담아서 클라이언트로 전달. 보안에 강하지만 서버 자원 소모하는 단점 있음. 주로 로그인 세션 유지에 사용됨.

• 토큰: 클라이언트 정보를 저장하는 인코딩된 문자열. 주로 JWT 형태로 사용. 서버는 토큰의 유효성만 검증하면 돼서 서버 자원 덜 사용. 서버에 상태 정보를 저장하지 않아서 확장성 높지만 토큰 탈취 위험 있음. 주로 OAuth 기반 인증에 사용됨.

• Authentication과 Authorization 차이점

  • Authentication(인증 / 신원확인) : 현재 사용자가 누구인지 확인하는 과정. 회사 건물을 예로들면 1층 안내 데스크에서 방문자가 해당 건물에 출입할 수 있는지 여부를 확인하는 과정.
  • Authorization(허가 / 권한부여) : 사용자에게 접근을 허락하는 과정. 관리자는 건물의 다양한 공간에 접근할 수 있고, 방문자는 허용한 공간만 접근할 수 있는 것에 비유할 수 있다.

쿠키 Cookie

• 사용자 정보를 기억하기 위해 서버는 쿠키를 사용해 사용자 브라우저에 데이터를 넣을 수 있다
• 사이트에 방문하면, 브라우저는 서버에 요청을 보낸다
  • 서버는 이에 응답한다. 응답에는 사용자가 찾고 있는 페이지 정보가 있다. 이 응답에 쿠키를 보낼 수 있다
  • 사용자 브라우저에 쿠키가 저장되면, 웹사이트에 방문할 때마다 쿠키도 요청과 함께 보내진다.
• 쿠키는 도메인에 따라 제한된다. ex) 유튜브가 준 쿠키는 유튜브에만 보낼 수 있다
• 쿠키는 유효기간이 있다. 하루 혹은 한달 등 서버가 정한 기간에 따라 유효하다
• 쿠키는 인증 뿐만 아니라 여러가지 정보를 저장할 수 있다
  • 사용자가 웹사이트에서 언어 설정을 바꾸면(서버에 요청)
  • 서버는 응답과 함께 쿠키를 보낸다(사용자가 선택한 언어를 저장하고 응답한다)
  • 사용자가 해당 웹사이트에 다시 방문했을 때 언어 설정이 담긴 쿠키를 요청과 함께 서버로 보내고
  • 서버는 쿠키가 기억해둔 언어 설정의 페이지를 제공한다(응답한다)
• 참고로 iOS 네이티브 앱의 쿠키는 웹브라우저를 통해 액세스 하는 쿠키와 다르게 관리된다
  • HTTP Cookie Storage 통해 쿠키 관리
  • 앱 간 쿠키 공유 불가

세션 Session

• HTTP 프로토콜은 Stateless(무상태성)다. 즉 서버로 가는 모든 요청은 이전 요청과 독립적으로 다뤄진다.
• 요청이 끝나면 서버는 요청을 보낸 곳의 정보를 저장하지 않는다
• 때문에 요청할 때마다, 요청을 보낸 곳이 누구인지 서버에게 알려줘야 한다
• 이때 사용하는 방법중 하나가 바로 Session
• Smith라는 유저가 있고 로그인하고 싶다면

  • 유저이름과 비밀번호를 서버에 보낸다

  • 정보가 맞다면 서버는 세션 DB에 Smith라는 유저를 생성한다

  • 해당 세션에는 별도의 ID를 가지고 있다

  • 이 세션 ID는 쿠키를 통해 브라우저로 돌아오고 저장된다

  • 그 후 같은 웹사이트의 다른 페이지로 이동하면 브라우저는 세션 ID가 담겨 있는 쿠키를 서버에 보낸다.

    브라우저가 서버에 요청할 때 쿠키도 자동으로 보내진다

  • 서버는 세션 ID가 담겨있는 쿠키를 확인하고

    이때까지 서버는 요청을 보낸자가 누구인지 모른다

  • 이 세션 ID로 세션 DB를 확인한고 해당 ID는 유저명 Smith의 것이란걸 알게된다.

  • 이 요청이 끝나고 다른 페이지로 이동할 때마다 위 프로세스를 반복된다