jwt 토큰은 api서버에서만 사용하나요?

Question

수업을 듣다가 궁금한 점이 생겨 문의 드립니다.

현재 React를 사용하여 API 서버와 작업할 때는 JWT 토큰을 자주 사용하는데, 타임리프(Thymeleaf)와 같은 서버 사이드 렌더링을 사용할 때도 JWT 토큰을 사용해도 되는지, 혹은 사용하면 안 되는지 궁금합니다!

Answer

JWT와 같은 토큰 인증이 사용되는 경우는 주로 완전히 분리된 도메인이나 애플리케이션입니다.

예제와 같이 별도의 서버에서 통신을 통하는 경우에는 API서버의 입장에서는 자신을 호출한 존재를 믿을 수 없기 때문에 뭔가 인증할 수 있는 수단으로 토큰을 이용합니다.

타임리프는 서버에서 이미 데이터를 다 만들어서 결과를 보내주는 방식이고 데이터와 결과를 주로 동일한 서버에서 처리하기 때문에 분리된 상황이 아니므로 브라우저에서 지원하는 동일 도메인에서 데이터를 주고 받는 쿠키기반으로 처리해도 충분합니다.

브라우저는 매번 서버 호출시에 해당 서버에서 발행된 쿠키를 자동으로 전송하고 서버에서는 이를 이용해서 사용자를 인증할 수 있기 때문에 JWT를 이용할 필요는 없습니다. 굳이 JWT를 이용한다고 해도 문제가 되지는 않겠지만 필수조건은 아니라고 생각하시면 됩니다.