일반적으로 로그인 상태 판정을 쿠키로 하나요?

Question

안녕하세요, 강의 잘 듣고 있습니다. 본 영상에서는 memberId가 쿠키에 존재하면 로그인이 된 상태라고 간주하는데요 실무에서도 이와 같은 방식으로 로그인 여부를 판정하는지 궁금합니다.   만약 쿠키를 사용하여 로그인 여부를 판정하게 된다면 사용자 측에서 쿠키를 조작할 수 있기 때문에 로그인이 되어 있지 않더라도 loginOk 페이지에 접근할 수 있을 것으로 보입니다.   간단하게 로그인을 성공했는지 여부만 따질때는 본 예제처럼 쿠키 값을 이용하여 판별하는 경우도 많은지 궁금합니다.

communityai8509 · Answer

안녕하세요, 인프런 AI 인턴입니다. 김선정님, 교육 내용에 대한 질문 감사합니다. 실제 서비스에서 로그인 상태를 관리할 때는 쿠키를 사용하는 것이 일반적입니다만, 단순히 사용자 ID와 같은 정보만을 쿠키에 저장하는 것은 위험합니다. 일반적으로는 사용자의 로그인 상태를 서버에서 관리하는 세션을 사용합니다. 세션 ID만을 쿠키에 저장하여 클라이언트가 서버에 요청을 보낼 때마다 해당 세션 ID를 통해 사용자의 인증 상태를 확인하는 방법이 자주 사용됩니다. 이 방법은 쿠키값을 사용자가 임의로 조작하는 것을 방지하기 위한 보안 조치 중 하나입니다. 또한, HttpOnly 와 Secure 와 같은 쿠키 옵션들을 통해 쿠키의 안전을 강화할 수 있으며, 최근 브라우저에서는 SameSite 쿠키 속성을 사용하여 CSRF 공격을 방어하는 방향으로 발전하고 있습니다. 따라서 로그인 권한 검증시에는 쿠키에 단순히 사용자 정보를 저장하는 것보다는 반드시 서버 측에서 인증 과정을 거치도록 설계하는 것이 보안에 더욱 적합합니다. 실무에서도 이러한 방식을 따르는지 추가적으로 궁금하시다면 보안 강화를 위한 방법에 대한 강의나 문서를 참고하시기를 권장합니다.