두 개념을 평행 나열하는지, 아니면 "언제 무엇을 쓰는지"의 선택 기준까지 들고 있는지를 가른다. 보안 옵션과 다중 인스턴스 운영 이야기를 자연스럽게 꺼낼 수 있는지가 깊이의 분기점이다.
쿠키는 클라이언트가 들고 다니는 키-값 저장소다. 브라우저가 같은 도메인의 모든 요청에 자동으로 실어 보내고, 서버는 그 값을 신뢰할 수 없는 입력으로 본다. 세션은 서버가 사용자별 상태를 들고 있고, 클라이언트에는 그 상태를 가리키는 식별자(보통 세션 ID 쿠키)만 넘긴다. 즉 쿠키와 세션은 대립 개념이 아니라 "상태를 어디에 두느냐"의 선택이고, 실제 운영에서는 세션 ID를 쿠키에 담아 둘이 함께 굴러간다.
서버를 늘렸을 때 로그인이 풀리는 문제를 겪고 세션 저장소를 분리해본 경험이 있다면 "왜 세션을 어디에 두느냐가 아키텍처 문제인지"와 바로 연결할 수 있다
쿠키에 SameSite·Secure 옵션을 바꿔서 CSRF나 크로스 사이트 이슈를 잡아본 적이 있다면 보안 옵션 선택 기준으로 풀어낼 수 있다
민감 정보를 클라이언트에 두는 게 부담스러워 세션이나 토큰으로 옮긴 결정 과정이 있다면 "신뢰 경계를 어디에 긋는가" 관점으로 정리할 수 있다
JWT나 세션 중 하나를 골라 도입했던 경험이 있다면 그때 본 트레이드오프를 이 질문의 선택 기준 부분에서 끌어올 수 있다
아직 공개된 답변이 없어요. 첫 공개 답변을 남겨보세요.