세션 기반 인증
- 클라이언트로부터 요청을 받으면 클라이언트의 상태 정보를 저장하므로 Stateful(상태 유지)한 구조를 가짐
- 서버에 세션을 저장해야하므로 서버에 부담이 상대적으로 더 가며 확장성이 낮음
- 또한, 해커가 훔친 쿠키를 이용해 요청을 보내면 서버는 올바른 사용자가 보낸 요청인지 알 수 없음(세션 하이재킹 공격)
- 단일 도메인인 경우 사용 → 세션을 관리할 때 사용되는 쿠키는 단일 도메인 및 서브 도메인에서만 작동하도록 설계되어 있기 때문에 여러 도메인에서 관리하는 것은 어렵습니다. (CORS 문제)
토큰 기반 인증
- 상태 정보를 서버에 저장하므로 Stateless(무상태)한 구조를 가짐
- 단일 도메인이 아닌 경우 사용
'CS 지식 > [네트워크]' 카테고리의 다른 글
| [네트워크] DNS (0) | 2023.07.17 |
|---|---|
| [네트워크] 공인(public) IP와 사설(private) IP (0) | 2023.07.17 |
| [네트워크] 쿠키 & 세션 (0) | 2023.07.17 |
| [네트워크] HTTP & HTTPS (0) | 2023.07.17 |
| [네트워크] GET & POST (0) | 2023.07.17 |