쿠키, 세션, JWT의 차이점

웹 애플리케이션 개발에서는 사용자 인증 및 상태 관리를 위해 쿠키(Cookie), 세션(Session), JWT(Json Web Token)가 자주 사용됩니다. 이 글에서는 각 개념의 정의와 장단점, 사용 사례를 살펴보고 쿠키와 세션, JWT의 차이점을 명확히 정리합니다.

1. 쿠키 (Cookie)

(1) 정의
쿠키는 웹 브라우저가 사용자의 컴퓨터에 저장하는 작은 데이터 파일입니다. 서버가 클라이언트에게 정보를 저장하도록 요청하며, 브라우저는 이후 요청시 이 정보를 다시 서버에 전달합니다.

(2) 특징

• 저장 위치 : 클라이언트(브라우저) 측에 저장됩니다.
• 용량 제한 : 쿠키당 약 4KB
• 만료 기간 : 쿠키는 서버에서 설정한 만료 기간까지 유지됩니다. 세션 쿠키는 브라우저를 닫으면 삭제됩니다.
• 보안 : 평문으로 저장되므로 민감한 정보를 직접 저장하는 것은 위험합니다. (HTTPS 사용 권장)

(3) 장점

• 서버 자원을 소비하지 않습니다.
• 브라우저가 자동으로 관리하므로 사용이 간편합니다.

(4) 단점

• 클라이언트 측에서 데이터가 조작될 가능성이 있습니다.
• 크기 제한으로 인해 많은 데이터를 저장할 수 없습니다.

(5) 사용 사례

• 사용자 설정 저장(테마, 언어 등)
• 로그인 상태 유지(간단한 세션 식별자)

2. 세션(Session)

(1) 정의
세션은 서버에서 관리하는 클라이언트 상태 정보입니다. 사용자가 웹 사이트에 접속하면 서버는 고유 세션 ID를 생성하고 클라이언트와의 연결을 추적합니다. 세션 ID는 보통 쿠키에 저장됩니다.

(2) 특징

• 저장 위치 : 서버에 저장됩니다.
• 만료 기간 : 서버에서 설정하며, 일정 시간동안 사용자가 활동하지 않으면 세션이 만료됩니다.
• 보안 : 서버에서 데이터를 관리하므로 클라이언트 측의 데이터 조작 위험이 적습니다.

(3) 장점

• 클라이언트 측에서 데이터가 유출될 위험이 적습니다.
• 대량의 데이터를 저장할 수 있습니다.

(4) 단점

• 서버의 메모리나 스토리지를 소비합니다.
• 서버가 다운되면 세션 정보가 손실될 수 있습니다.

(5) 사용 사례

• 로그인 상태 관리
• 쇼핑몰의 장바구니 기능

3. JWT (Json Web Token)

(1) 정의
JWT는 JSON포맷으로 클라이언트와 서버 간 정보를 안전하게 전송하기 위해 설계된 토큰입니다. 토큰은 세 부분으로 구성됩니다. 헤더(Header), 페이로드(Payload), 서명(Signature)

(2) 특징

• 저장 위치 : 주로 클라이언트 측(쿠키 또는 로컬 스토리지)
• 구조 : Base64 URL로 인코딩된 JSON데이터
• 무상태 : 서버는 JWT를 저장하지 않으므로 완전한 무상태성을 유지합니다.

(3) 장점

• 분산 시스템에서 상태 관리가 용이합니다.
• 클라이언트와 서버 간 인증 정보의 안전한 전송이 가능합니다.
• 서명이 포함되어 있어 데이터 위,변조를 방지합니다.

(4) 단점

• 토큰 크기가 커질 수 있습니다.
• 발급된 토큰은 만료되기 전까지 강제로 무효화할 수 없습니다.

(5) 사용 사례

• API 인증
• OAuth2 기반의 인증 시스템

4. 사용 사례 비교

• 쿠키 : 사용자 설정 저장, 간단한 로그인 상태 유지
• 세션 : 복잡한 사용자 상태 관리(예: 쇼핑몰의 장바구니)
• JWT : REST API 인증, 모바일 애플리케이션 인증

5. 정리

쿠키, 세션, JWT는 각기 다른 목적과 사용 사례를 가지고 있습니다. 쿠키는 클라이언트 중심, 세션은 서버 중심의 상태 관리 방식입니다. 반면 JWT는 무상태 인증 토큰으로 분산 시스템에서 활용하기 적합합니다. 따라서 시스템의 요구사항에 따라 적절한 기술을 선택하는 것이 중요합니다.

* 참고자료

• MDN Web Docs - 쿠키, 세션
• JSON Web Tokens - JWT 공식사이트
• OWASP - Secure Session Management

이 글은 오픈 라이센스 자료와 개인적인 경험을 바탕으로 작성하였습니다.