쿠키와 세션을 사용하는 이유
HTTP는 클라이언트가 request를 서버에 요청하고, 서버가 클라이언트에 요청에 맞는 response를 보내면 바로 연결을 끊는다. (Connectionless)
또한, 연결을 끊는 순간 클라이언트와 서버의 통신은 끝나며 상태 정보를 유지하지 않는다. (Stateless)
위와 같은 HTTP 프로토콜의 특징 때문에 클라이언트는 서버와 통신할 때마다 새로 연결해야하기 때문에 매 요청마다 인증을 해야한다. HTTP 프로토콜에서 상태를 유지하기 위한 기술이 쿠키와 세션이다.
쿠키의 개념과 동작 방식
쿠키는 클라이언트(브라우저) 로컬에 키와 값을 저장하는 데이터 파일이다.
사용자 인증 유효시간을 명시할 수 있고, 유효 시간 동안 브라우저가 종료되어도 인증이 유지된다.
클라이언트의 상태 정보를 로컬에 저장했다가 참조한다.
- 구성요소: 이름/값/만료시간/쿠키를 전송할 도메인이름/경로/보안연결여부/HttpOnly여부
- 동작 방식
1) 클라이언트가 서버에 페이지를 요청
2) 서버에서 쿠키를 생성하고 HTTP 헤더에 쿠키를 포함시켜서 클라이언트로 응답
3) 브라우저가 종료되더라도 쿠키 만료 시간이 있다면 클라이언트에서 보관
4) 같은 요청인 경우 HTTP 헤더에 쿠키를 넣어서 전송
5) 서버에서 쿠키를 읽어 이전 상태 정보와 비교 후 변경된 내용을 업데이트하고 HTTP 헤더에 변경된 쿠키를 포함시켜 응답
세션의 개념과 동작 방식
세션은 쿠키를 기반으로 하지만 서버에서 관리한다.
세션id를 부여하여 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지한다.
접속 시간을 설정할 수 있고, 접속 시간 동안 응답이 없는 경우 정보가 유지되지 않게 할 수 있다.
- 동작 방식
1) 클라이언트가 서버에 요청 시 클라이언트에게 세션id를 부여함
2) 서버가 응답할 때 HTTP 헤더에 세션id를 포함해서 전송
3) 웹 브라우저는 이후 웹 브라우저를 종료할 때까지 부여된 세션id가 담긴 쿠키를 HTPP 헤더에 넣어서 전송
4) 서버는 세션id를 전달 받고 클라이언트의 정보를 가져와 클라이언트 요청을 처리하고 응답
쿠키와 세션의 차이점
- 저장 위치
-쿠키: 클라이언트에 위치하고 있어서 서버의 자원을 사용하지 않는다.
-세션: 서버에 저장하고 있어서 서버의 자원을 사용한다. - 보안
-쿠키: 클라이언트에 로컬에 저장하고 있어서 변질되거나 request 시 스니핑 우려가 있다.
-세션: 세션id만 저장하고 서버에서 처리하기 때문에 비교적 우수하다. - 라이프사이클
-쿠키: 파일로 저장되기 때문에 만료 시간에 따라 브라우저를 종료해도 정보가 계속 남아 있을 수 있다.
-세션: 만료 시간이 있지만, 브라우저 종료 시 만료 시간 상관없이 삭제된다. - 속도
-쿠키: 클라이언트에 저장되어 있기 때문에 서버에 요청 시 빠르다.
-세션: 서버에 정보가 있기 때문에 서버에서 처리가 필요해 쿠키보다 비교적 느리다.
*참고 자료
https://interconnection.tistory.com/74
https://doooyeon.github.io/2018/09/10/cookie-and-session.html
자기 개발, 학습 정리를 위한 블로그