JWT vs 세션: 무엇을 선택할까?
인증 모델을 고를 때 고려해야 할 보안/운영/UX 포인트
JWT와 세션은 서로 대체 관계라기보다, 요구사항에 따라 선택이 달라집니다.
세션이 잘 맞는 경우
- 강제 로그아웃/세션 무효화가 중요
- 서버 중심 웹 앱(쿠키 기반)
- 토큰 탈취 대응을 “서버에서” 제어하고 싶을 때
JWT가 잘 맞는 경우
- API 게이트웨이/마이크로서비스 등 분산 환경
- 모바일 앱 등 “쿠키 중심”이 아닌 클라이언트
- 무상태(stateless)를 선호하지만, 폐기 전략(블랙리스트/짧은 만료)이 필요
관련 용어: 세션(Session), JWT, Cookie