세션 기반 인증 클라이언트로부터 요청을 받으면 클라이언트의 상태 정보를 저장하므로 Stateful(상태 유지)한 구조를 가짐 서버에 세션을 저장해야하므로 서버에 부담이 상대적으로 더 가며 확장성이 낮음 또한, 해커가 훔친 쿠키를 이용해 요청을 보내면 서버는 올바른 사용자가 보낸 요청인지 알 수 없음(세션 하이재킹 공격) 단일 도메인인 경우 사용 → 세션을 관리할 때 사용되는 쿠키는 단일 도메인 및 서브 도메인에서만 작동하도록 설계되어 있기 때문에 여러 도메인에서 관리하는 것은 어렵습니다. (CORS 문제) 토큰 기반 인증 상태 정보를 서버에 저장하므로 Stateless(무상태)한 구조를 가짐 단일 도메인이 아닌 경우 사용