쿠키 기반 로그인 로그아웃에서 보안 관련한 큰 문제가 있어서 세션이 필요함을 느꼈다!

서버에 중요한 정보를 보관하고 연결을 유지하는 방식(세션 방식)

로그인한 회원이 맞으면 서버는 쿠키에 담을 sessionId를 생성한다.(추정 불가능 해야하기에 자바의 UUID활용)

응답으로 추정불가능한 sessionId만 쿠키에 넣어서 클라에게 전달해준다!

그럼 이제 클라는 추정불가능한 sessionId를 다른 api요청시 쿠키에 넣어서 요청을 하게끔 하고 받아온 sessionId로 민감한 정보와의 매칭은 서버에서 실행한다.

이렇게 되면 클라에서 쿠키를 조작하거나, 민감한 정보를 쿠키에 담는 문제들이 해결 될 것이다!

쿠키 탈취 후 사용하더라도, 해커가 토큰을 털어가도 시간이 지나면 사용할 수 없도록 서버에서 세션의 만료시간을 짧게(예: 30분) 유지한다. 또는 해킹이 의심되는 경우 서버에서 해당 세션을 강제로 제거하면 된다.