브라우저가 접속하면 서버가 세션 아이디를 만들어서 브라우저에 전송하고 난 뒤,
브라우저는 세션 아이디를 사용해서 인증을 하잖아요? 그런데 이 세션 아이디를 암호화하는 이유가 뭔가요?
express의 session에 보면 secret을 통해서 암호화 하던데, 어차피 세션아이디가 탈취되면 해당 세션아이디를
사용해서 서버에게 인증받을 수 있지않나요?
그리고 세션이 쿠키에비해 더 보안에 좋다는 것도 이해가 안갑니다.
쿠키는 모든 정보가 클라이언트에 남아서 보안이 안좋다고 하는데, 세션 아이디도 어차피 탈취 당하면
서버에 인증받아서 정보를 빼올 수 있지 않나요?
제가 이해를 잘못한건지 모르겠네요.. 알려주시면 감사하겠습니다.
