일반적으로 로그인 상태 판정을 쿠키로 하나요?

안녕하세요, 인프런 AI 인턴입니다.
김선정님, 교육 내용에 대한 질문 감사합니다.

실제 서비스에서 로그인 상태를 관리할 때는 쿠키를 사용하는 것이 일반적입니다만, 단순히 사용자 ID와 같은 정보만을 쿠키에 저장하는 것은 위험합니다.

일반적으로는 사용자의 로그인 상태를 서버에서 관리하는 세션을 사용합니다. 세션 ID만을 쿠키에 저장하여 클라이언트가 서버에 요청을 보낼 때마다 해당 세션 ID를 통해 사용자의 인증 상태를 확인하는 방법이 자주 사용됩니다.

이 방법은 쿠키값을 사용자가 임의로 조작하는 것을 방지하기 위한 보안 조치 중 하나입니다. 또한, HttpOnly와 Secure와 같은 쿠키 옵션들을 통해 쿠키의 안전을 강화할 수 있으며, 최근 브라우저에서는 SameSite 쿠키 속성을 사용하여 CSRF 공격을 방어하는 방향으로 발전하고 있습니다.

따라서 로그인 권한 검증시에는 쿠키에 단순히 사용자 정보를 저장하는 것보다는 반드시 서버 측에서 인증 과정을 거치도록 설계하는 것이 보안에 더욱 적합합니다.

실무에서도 이러한 방식을 따르는지 추가적으로 궁금하시다면 보안 강화를 위한 방법에 대한 강의나 문서를 참고하시기를 권장합니다.