Session / Token

세션

• 서버와 클라이언트 둘다 같은 데이터를 기억한다.

• 로그인이 유지될수있도록 쿠키에 세션ID를 저장하여서 기억하고있다가 이후 확인하고 로그인을 유지시켜준다.

• 메모리에 저장하기 때문에, 서버가 문제가생겨서 꺼져버리면 죄다 날라가버린다. (휘발성)
→ 보완하기위해 "토큰" ⇒ JWT (JSON WEB TOKEN)

• Stateful

• 클라이언트 통제를 할수있다
한기기에서만 로그인할수있게 만드려면, 기존 세션을 종료한다.(서버가 갖고있는 정보를 버리면된다) JWT방식은 서버가 갖고있는게 없기때문에 어떻게 할수가없음

토큰

• 클라이언트에만 데이터를 기억하게 한다.(서버는 기억안함)

• 토큰 : xxxxxx.yyyyyyyyyyy.zzzzzzzzzzzzz
⇒ yyyyy === 토큰에 담긴 사용자의 정보 (페이로드): 클레임
⇒ xxxxx === 헤더, 타입 등의 정보
⇒ zzzzz === 암호화방식 , HS256 등의 정보

• 시간에따라 상태값이 바뀌지않는 Stateless

• JWT단점 : 세션은 클라통제를 할수있지만 토큰을 불가하다
보완방법 : refreshToken
토큰을 두개(AccessToken, RefreshToken)를 주고 기존 토큰(Accesstoken)의 만료시간을 아주 짧게(몇시간정도)한다.
RefreshToken의 만료시간은 2주~1달 정도 refreshtoken은 클라이언트에게 넘겨주고 데이터베이스에도 저장한다.
클라이언트의 accesstoken이 만료되면 refreshtoken요청을 하고 , 서버는 데이터베이스의 refreshtoken과 대조해보고 같다면 새로운 accesstoken을 발급해서 다시 클라에게 보내준다.