Session, JWT, OAuth 2.0 — 세 가지 핵심 인증 방식의 동작 원리와 트레이드오프를 비교합니다.
Session은 서버에 상태를 저장하는 전통적인 방식이고, JWT는 Stateless한 토큰 기반 인증입니다. OAuth 2.0은 제3자 인증(소셜 로그인)을 위한 표준 프로토콜입니다. 실무에서는 JWT Access Token + Refresh Token 조합이 가장 널리 사용되며, 보안을 위해 Refresh Token Rotation과 httpOnly 쿠키를 함께 적용합니다.
각 인증 방식의 단계별 흐름을 시뮬레이션하고 장단점을 비교하세요.
// Express + express-session
app.use(session({
secret: 'my-secret',
resave: false,
saveUninitialized: false,
cookie: {
httpOnly: true,
secure: true,
sameSite: 'strict',
maxAge: 24 * 60 * 60 * 1000, // 24h
},
}));
app.post('/login', (req, res) => {
// 인증 후 세션에 저장
req.session.userId = user.id;
res.json({ success: true });
});실제 코드로 동작 원리를 확인하세요.
import jwt from 'jsonwebtoken';
// 토큰 발급
function generateTokens(user) {
const accessToken = jwt.sign(
{ userId: user.id, role: user.role },
process.env.JWT_SECRET,
{ expiresIn: '15m' }
);
const refreshToken = jwt.sign(
{ userId: user.id },
process.env.REFRESH_SECRET,
{ expiresIn: '7d' }
);
return { accessToken, refreshToken };
}
// 인증 미들웨어
function authenticate(req, res, next) {
const token = req.headers.authorization?.split(' ')[1];
if (!token) return res.status(401).json({ error: 'No token' });
try {
const decoded = jwt.verify(token, process.env.JWT_SECRET);
req.user = decoded;
next();
} catch (err) {
if (err.name === 'TokenExpiredError') {
return res.status(401).json({ error: 'Token expired' });
}
return res.status(403).json({ error: 'Invalid token' });
}
}
// 클라이언트: Axios 인터셉터
api.interceptors.request.use((config) => {
const token = getAccessToken();
if (token) config.headers.Authorization = `Bearer ${token}`;
return config;
});Access Token(15분) + Refresh Token(7일) 조합이 일반적입니다.state 파라미터로 CSRF를 방지하고, PKCE(Proof Key for Code Exchange)로 인가 코드 탈취를 방지합니다. client_secret이 서버에서만 사용되어 보안이 강화됩니다.httpOnly 쿠키에 저장하여 XSS 방지