[네트워크] 쿠키 방식과 세션 방식을 고민하는 이유 + 브라우저 간 쿠키 공유

쿠키 방식과 세션 방식을 고민하는 이유 

쿠키 방식

- 클라이언트에 저장되므로 상대적으로 취약함

- 저장 위치 : 클라이언트 (브라우저)

- 용량 제한 : 약 4KB

- 확장성 : 서버 무관(클라이언트 저장) -> 확장성 좋음

- 속도 : 서버 부담 적고, 빠름 

- 세션 유지 : 브라우저에 저장되므로 오래 유지 가능

- 실제 활용 : JWT 기반 토큰 인증 등 

 

세션 방식 

- 서버에 저장되어 보안성이 높음

- 저장위치 : 서버 

- 용량 제한 : 서버 메모리나 저장소 용량만큼

- 확장성 : 서버 저장 -> 서버 간 세션 공유 필요 

- 속도 : 서버 리소스 사용, 느릴 수 있음 

- 세션 유지 : 일반적으로 일정 시간 후 만료됨

- 실제 활용 : 로그인 상태 유지 등

 

진짜 중요하게 고려해야 하는 부분은 

1. 로그인 상태를 유지해야 하는 사용자 수가 많은가 2. 보안이 중요한가 2가지 경우인 것 같다. 

 

---

 

동시 로그인 허용 여부에 따른 토큰 관리 방식 : Token기반 세션을 사용하고 싶음

- Token기반 세션 방식 : accessToken은 stateless하게, refreshToken은 데이터베이스에 저장해두고 사용하는 방식

 

토큰 방식으로 인증/인가를 처리할 때 시크릿 창 2개에서 동일한 IP, ID로 로그인할 경우 어떻게 처리해야 하는가에 대한 고민에서 시작되었다. 

 

1. 동시 로그인 허용 안 함 

나중 로그인으로 refresh_token_value을 덮어쓴다

- 발생될 수 있는 문제점 : 첫번째 로그인한 사용자는 토큰이 만료되었는지 / 한 번더 로그인을 해서 401이 된건지 알 수가 없다

- 백엔드 : 401 응답 시 본문에 { code: "TOKEN_EXPIRED" }, { code: "REPLACED_BY_NEW_LOGIN" } 등 포함

- 프론트 : 세부 응답 메시지 확인후, localstorage 지우고 세부 응답 사용자에게 안내하여 다시 로그인이 필요함을 명시

 

2. 여러 디바이스/브라우저 동시 로그인 허용 

한 유저가 여러 토큰을 보유할 수 있으면 각 로그인 마다 고유 session_id을 생성한다 

이 구조면 여러 시크릿 창 / 브라우저 / 기기에서 동시에 로그인할 수 있다 

단 보안상 관리가 필요하기 때문에 메타데이터를 추적한다. 

 

 

관리 페이지에서 사용자에게 본인 토큰 목록 보여줌 (PC, 모바일, MFA 여부, 마지막 접속 시간)

탈취 의심시 개별 토큰만 폐기 가능 (R2.revoked = true) 

token_table (
  token_id UUID PRIMARY KEY,
  user_id UUID,
  refresh_token TEXT,
  user_agent TEXT,
  ip_address TEXT,
  created_at TIMESTAMP,
  last_used_at TIMESTAMP,
  
  revoked BOOLEAN DEFAULT FALSE, # 폐기 여부 
  client_type ENUM('WEB', 'MOBILE'), # 웹/모바일 방식 구분 
  device_info TEXT, #장치 인증(Device binding)
  mfa_verified BOOLEAN DEFAULT FALSE # MFA미인증시 권한제한 
)

 

 

 

웹 + 모바일 동시 지원시 방식 구분이 필요한 이유 

웹 - RefreshToken은 Secure, HttpOnly 로  설정 

앱 - Access/Refresh Token을 Authorization 헤더로 보냄, 로컬 스토리지에 refresh token저장 

 

 

한 번 사용한 Refresh Token은 무효화하고 새 Refresh Token발급을 진행해야 한다.