토큰 기반 인증과 세션 기반 인증의 차이는?

세션은 서버가 상태를 저장하고, 토큰(JWT)은 클라이언트가 들고 다니며 서버는 상태를 안 가집니다.

세션 방식은 서버에 로그인 상태를 저장하고 세션 ID를 쿠키로 주고받습니다. 토큰 방식(JWT)은 서명된 토큰을 클라이언트가 보관하고 요청마다 보내, 서버가 상태를 저장하지 않아 확장에 유리합니다. 대신 토큰 탈취·만료 관리에 주의해야 합니다.

핵심 포인트

• 세션: 서버 저장(stateful)
• 토큰: 무상태(stateless), 확장 유리
• 토큰은 탈취·만료 관리 중요