TL;DR

<aside> Authentication 인증(신원검증), Authorization 허가(권한부여)

</aside>

• 쿠키: HTTP 프로토콜의 무상태성(Stateless)을 보완하는 도구. 상태 정보는 클라이언트에 저장하고, HTTP 요청 시 서버로 자동 전송됨. 보안에 취약. 용량은 4kb 정도로 제한. 주로 사용자 설정을 유지에 사용됨.

• 세션: 서버에서 클라이언트의 상태 정보를 유지하기 위한 방법. 서버는 클라이언트의 세션 ID를 부여하고, 쿠키에 담아서 클라이언트로 전달. 보안에 강하지만 서버 자원 소모하는 단점 있음. 주로 로그인 세션 유지에 사용됨.

• 토큰: 클라이언트 정보를 저장하는 인코딩된 문자열. 주로 JWT 형태로 사용. 서버는 토큰의 유효성만 검증하면 돼서 서버 자원 덜 사용. 서버에 상태 정보를 저장하지 않아서 확장성 높지만 토큰 탈취 위험 있음. 주로 OAuth 기반 인증에 사용됨.

• Authentication, Authorization 차이점

  • Authentication(인증 / 신원검증): 사용자가 누구인지 확인하는 과정. 인증 방식엔 비밀번호, 생체 정보(지문/얼굴 스캔), OTP(일회용 비밀번호), MFA(2가지 이상의 다른 인증 방법 요구) 등이 있음.
  • Authorization(허가 / 권한부여): 인증을 통해 신원이 확인된 사용자가 특정 리소스에 접근 권한을 갖고 있는지 확인하는 과정. 예를 들어 회사 내부 시스템에서 고객 데이터 조회에 대해 일반 직원은 불가하고 관리자 계정만 가능하도록 설정. 권한 부여 방식(Access Control 모델)엔 크게 아래 3가지로 나뉨.
    • RBAC(Role-Based Access Control): 사용자 역할(어드민/매니저 등) 기반
    • ABAC(Attribute-Based Access Control): 사용자 속성(직급/부서 등) 기반
    • ReBAC(Relationship-Based Access Control): 사용자-리소스 관계(팀 소속/소유권 등) 기반

쿠키 Cookie

• 사용자 정보를 기억하기 위해 서버는 쿠키를 사용해 사용자 브라우저에 데이터를 넣을 수 있다
• 사이트에 방문하면, 브라우저는 서버에 요청을 보낸다
  • 서버는 이에 응답한다. 응답에는 사용자가 찾고 있는 페이지 정보가 있다. 이 응답에 쿠키를 보낼 수 있다
  • 사용자 브라우저에 쿠키가 저장되면, 웹사이트에 방문할 때마다 쿠키도 요청과 함께 보내진다.
• 쿠키는 도메인에 따라 제한된다. ex) 유튜브가 준 쿠키는 유튜브에만 보낼 수 있다
• 쿠키는 유효기간이 있다. 하루 혹은 한달 등 서버가 정한 기간에 따라 유효하다
• 쿠키는 인증 뿐만 아니라 여러가지 정보를 저장할 수 있다
  • 사용자가 웹사이트에서 언어 설정을 바꾸면(서버에 요청)
  • 서버는 응답과 함께 쿠키를 보낸다(사용자가 선택한 언어를 저장하고 응답한다)
  • 사용자가 해당 웹사이트에 다시 방문했을 때 언어 설정이 담긴 쿠키를 요청과 함께 서버로 보내고
  • 서버는 쿠키가 기억해둔 언어 설정의 페이지를 제공한다(응답한다)
• 참고로 iOS 네이티브 앱의 쿠키는 웹브라우저를 통해 액세스 하는 쿠키와 다르게 관리된다
  • HTTP Cookie Storage 통해 쿠키 관리
  • 앱 간 쿠키 공유 불가

세션 Session

• HTTP 프로토콜은 Stateless(무상태성)다. 즉 서버로 가는 모든 요청은 이전 요청과 독립적으로 다뤄진다.
• 요청이 끝나면 서버는 요청을 보낸 곳의 정보를 저장하지 않는다
• 때문에 요청할 때마다, 요청을 보낸 곳이 누구인지 서버에게 알려줘야 한다
• 이때 사용하는 방법중 하나가 바로 Session
• Smith라는 유저가 있고 로그인하고 싶다면

  • 유저이름과 비밀번호를 서버에 보낸다

  • 정보가 맞다면 서버는 세션 DB에 Smith라는 유저를 생성한다

  • 해당 세션에는 별도의 ID를 가지고 있다

  • 이 세션 ID는 쿠키를 통해 브라우저로 돌아오고 저장된다

  • 그 후 같은 웹사이트의 다른 페이지로 이동하면 브라우저는 세션 ID가 담겨 있는 쿠키를 서버에 보낸다.

    브라우저가 서버에 요청할 때 쿠키도 자동으로 보내진다

  • 서버는 세션 ID가 담겨있는 쿠키를 확인하고

    이때까지 서버는 요청을 보낸자가 누구인지 모른다

  • 이 세션 ID로 세션 DB를 확인한고 해당 ID는 유저명 Smith의 것이란걸 알게된다.

  • 이 요청이 끝나고 다른 페이지로 이동할 때마다 위 프로세스를 반복된다