질문
239
작성한 질문수 37
선생님 강의를 보다 궁금한점이 생겼습니다.
제가 옛날에 들었던 얘기가 있었는데 강의소개에는 기업에서 form 방식을 많이 이용한다고 봤습니다. 그런데 이렇게 세션을 이용하는 방식은 세션 자체가 서버에 저장되는 방식이기 때문에 서버에 부담을 주게된다고 해서 jwt 를 많이 이용한다고 하는데 jwt 보다 좋은 점이 있을까요?
답변 1
2
네
세션방식의 인증처리는 전통적으로 많이 사용해오던 방식은 맞고 현재도 사용하고 있습니다.
단점들이 존재하긴 하지만 여전히 레거시 시스템에서는 사용하고 있습니다.
다만 마이크로 서비스나 Rest 방식의 통신, 그리고 웹브라우저가 아닌 모바일 앱이나 디바이스 통신 등 다양한 환경에서의 인증처리에는 세션보다 Oauth2 나 Jwt 와 같은 토큰 방식의 인증, 인가 처리를 하는 추세로 가고 있긴 합니다.
그렇다고 무조건 토큰 방식 , 혹은 세션방식의 일률적인 정책 보다는 각 시스템과 운영환경에 따라 적절한 인증, 인가 처리 방식을 선택하는 것이 좋을 것 같습니다.
세션방식이 jwt 보다 좋은 점은 아무래도 세션은 서버측에서 저장/관리하기 때문에 상대적으로 보안에 안전할 수 있지만 CSRF 등의 취약점도 존재합니다.
그리고 세션 아이디는 jwt 토큰 보다 크기가 작다는 점도 존재합니다.
그 외에도 여러가지가 있겠지만 세션이나 jwt 모두 장단점이 존재하기 때문에 시스템에 가장 적합한 방식을 결정해서 구현하는 것이 더 중요하다고 생각되네요
시큐리티 공부 버전 질문
0
192
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
199
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
188
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
271
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
248
1
파라미터값이 넘어가지 않습니다 ....
0
382
1
security filterChain 설정 질문이 있습니다.
0
337
1
소스 부분 질문 드립니다.
0
214
2
섹션4 7번 강의 문제가 있는거 같네요.
0
353
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
312
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
566
2
error , exception 이 잘 안됩니다.
0
290
2
thymeleaf tag 질문합니다.
0
201
2
버전업하면서 deprecated된 것들이 너무많아요
0
483
1
spring security 패치 관련
0
443
1
모바일을 사용할때 토큰말고 세션
0
870
2
DB 연동한 인가 부분에 대한 질문입니다!
0
270
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
314
1
Config 파일 생성 시 질문이 있습니다.
0
238
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
443
2
403 에러 뜹니다.
0
833
2
login_proc의 존재에 대한 간략한 설명입니다
0
284
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
295
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
196
1