저장 위치만 외운 답인지, 자동 전송·서버 상태 보유·확장 비용을 같이 보고 선택 기준을 끊을 수 있는지를 가른다.
쿠키는 브라우저가 보관하고 동일 출처 요청마다 자동으로 붙여 보낸다. 세션은 서버가 상태를 들고 있고 클라이언트는 식별자만 들고 다닌다. 자동 전송 여부와 상태의 소유 주체가 다르기 때문에 CSRF·XSS 노출 면, 강제 로그아웃 가능 여부, 서버 메모리·세션 저장소 비용까지 같이 갈린다. 둘 중 무엇을 고르냐가 아니라, _상태를 어디까지 서버가 책임지고 어디부터 클라이언트에 맡길지_의 선이다.
세션 스토어를 Redis로 분리하며 만난 동기화 이슈가 있다면, 자동 전송·서버 상태 트레이드오프의 실제 비용으로 연결할 수 있다
쿠키에 HttpOnly·SameSite를 늦게 붙여 XSS/CSRF 흔적을 본 경험이 있다면, 보안 옵션 결정 기준이 왜 설계 초기에 나와야 하는지로 풀 수 있다
강제 로그아웃·동시 로그인 제한 정책을 구현해본 경험이 있다면, "세션이 가진 제어력" 대 "토큰의 무상태성" 트레이드오프의 구체 사례로 쓸 수 있다
토큰 기반으로 갈아엎으며 로그아웃 처리·블랙리스트 운영을 고민한 경험이 있다면, 세션 방식과 토큰 방식의 강제 로그아웃 비용 차이를 비교 축으로 바로 연결된다
아직 공개된 답변이 없어요. 첫 공개 답변을 남겨보세요.