jwt 와 session

Question

1. 제가 지금 까지 강의를 듣고 이해한 것 으로는 세션은 서버 에서 session(메모리) 형태로 로그인 정보를 저장해두고 쿠키 (브라우저에서) session ID 를 저장해 놓으면 새로고침 할 때 마다 session ID 로 session 을 조회하여 로그인 시켜주는 것 으로 알고 있는데 정확히 이것이 맞나요?? 잘 이해가 안되서 요.. ㅠㅠ  강의 도중 JWT 가 알맞는 프로젝트가 있고 session 이 알맞는 프로젝트가 있다고 하셨는데.. 제가 (초급자 입장에서) 봤을 때 는 JWT 가 무조건 이득일 것 같습니다.. session 은 redis(추 가비용 발생!) 도 있고 또 load balancer 서버도 있어야 하는 것으로 알고있는데..(자세히는 모르지만 주워들었습니다..) 코 딩도 비교적 양이 많을 것 같아요. 2. JWT가 알맞는 프로젝트와 Session 이 알맞는 프로젝트를 예시로 들어주실 수 있으신가요..? 3. JWT 가 네트워크 용량이 늘어 난 다는 것 외에 단점이 있을까요?

제로초(조현영) · Answer

네 이해하신 게 맞습니다. 기본적으로 서버 입장에서는 jwt가 편할 수 있습니다. 다만 jwt가 탈취당했을 때가 문제입니다. 토큰이 탈취당하면 추가적인 조치를 취해야 하는데 이게 복잡해집니다. 앱 서비스의 경우는 토큰 탈취 위험이 적어서 jwt로 하면 편합니다. 다만 웹의 경우는 jwt 탈취 방지를 위해 이것 저것 해야하다보니 session이 편할 수 있습니다.