Cookie & Session

박성진·2021년 6월 8일

먼저 HTTP 프로토콜의 특징으로 connectionless와 stateless특징을 가지고 있는데 이러한 특징을 보완하기 위해 사용되는 것이 Cookie와 Session이다.

connectionless(비연결지향)?

클라이언트가 서버에 요청을 했을 때, 그 요청에 맞는 응답을 보낸 후 연결을 끊는 처리방식을 connectionless라고 한다.
*HTTP 1.1 버전에서 연결을 유지하고, 재활용 하는 기능이 Default 로 추가되었다.
(keep-alive 값으로 변경 가능)

stateless(무상태성)?

클라이언트의 상태 정보를 가지지 않는 서버 처리 방식이다.
클라이언트와 첫번째 통신에서 데이터를 주고 받았다 해도, 두번째 통신에서 이전 데이터를 유지하지 않는다.

Cookie란?

어떤 웹사이트에 들어갔을 때, 서버가 일방적으로 클라이언트에 전달하는 작은 데이터
서버가 웹 브라우저에 정보를 저장하고 불러올 수 있는 수단
해당 도메인에 대해 쿠키가 존재하면, 웹 브라우저는 도메인에게 http요청시 쿠키를 함께 전달
쿠키를 이용하는 것은 단순히 서버에서 클라이언트에 쿠키를 전송하는 것만 의미하지 않고 클라이언트에서 서버로 쿠키를 전송하는 것도 포함됩니다.
서버는 쿠키를 이용하여 데이터를 저장하고 원할 때 이 데이터를 다시 불러와 사용할 수 있습니다. 하지만 데이터를 저장한 이후 아무 때나 데이터를 가져올 수 없습니다. 데이터를 저장한 이후 특정 조건들이 만족하는 경우에만 다시 가져올 수 있습니다. 이런 조건들은 쿠키 옵션으로 표현할 수 있습니다.

Cookie옵션

1. Domain: 서버와 요청의 도메인이 일치하는 경우 쿠키 전송

2. Path: 서버와 요청의 세부경로가 일치하는 경우 쿠키 전송

3. MaxAge or Expires: 쿠키의 유효기간 설정

4. Secure: 쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정, 만약 해당 옵션이 true일 경우에 Https프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있습니다.

5. HttpOnly: 자바스크립트에서 브라우저의 쿠키에 접근 여부를 결정 합니다.
true인 경우, 자바스크립트는 쿠키에 접근이 불가하고, false일 경우에는 접근이 가능하므로 XSS공격에 취약합니다.

6. SameSite: Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정하게 됩니다.
사용 가능한 옵션은 다음과 같습니다.

Lax :Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 있습니다.

Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있습니다.

None: 항상 쿠키를 보내줄 수 있습니다. 다만 쿠키 옵션 중 Secure 옵션이 필요합니다.

이때 'same-site'는 요청을 보낸 Origin과 서버의 도메인이 같은 경우를 말합니다.
서버에서 클라이언트로 쿠키를 처음 전송하게 될때 헤더에 Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키를 전송하게 되고 이후에 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에 Cookie라는 프로퍼티에 쿠키를 담아 서버에 쿠키를 전송하게 됩니다.

Cookie전달 방법

Session

Session이란?

세션은 쿠키를 기반으로 하고 있지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리 세션은 서버측에서 관리, 일정시간동안 같은 브라우저로 부터 들어오는 요구를 하나의 상태로 보고 그 상태를 유지하는 것.
즉, 웹 부라우저를 통해 웹서버에 접속한 이후부터 그 브라우저를 종료 할때까지 상태를 유지 하는 것을 세션이라고 합니다.