서버에서 세션 아이디를 발급받아 세션 아이디로 사용자를 식별한다

장점

• 쿠키 정보가 담긴 HTTP 요청이 도중에 노출되더라도 쿠키 자체에는 유의미한 정보를 가지지 않아 일반 쿠키 방식보다 안전하다.
• 각각의 사용자는 고유의 세션 아이디를 발급받기 때문에 회원 정보를 매번 확인할 필요가 없어 서버 자원에 접근하기 용이하다.

단점

• 쿠키 자체에는 중요한 정보를 담고 있지 않지만 해커가 쿠키에 담긴 세션 아이디를 이용하여 서버로 요청을 보내면 응답이 온다.
  • 이를 세션 하이재킹 공격 이라고 부르며 HTTPS 프로토콜을 사용하거나 세션에 만료 시간을 넣어주어 해결할 수 있다.
• 서버에서 세션 저장소를 사용하기 때문에 추가적인 저장공간이 필요하다.