Cookie vs. Session

Cookie	Session
클라이언트(브라우저)의 메모리 또는 파일에 저장	서버 메모리에 저장
- 클라이언트 로컬에 저장되어 보안에 취약 - 특히 파일로 저장되는 경우 탈취, 변조될 위험이 있고 Request/Response에서 스나이핑당할 위험이 있어 보안이 비교적 취약	클라이언트 정보 자체는 서버에 저장되어있으므로 비교적 안전함
지속 쿠키의 경우 브라우저 종료시에도 저장되어 있을 수 있음	서버에서 만료시간/날짜를 정해서 지워버릴 수 있기도하고 세션 쿠키에 세션 아이디를 정한 경우, 브라우저 종료시 세션아이디가 날아갈 수 있다
쿠키에 정보가 있기 때문에 서버에 요청시 헤더를 바로 참조하면 되므로 속도에서 유리함	제공받은 세션ID(key)를 이용해서 서버에서 다시 데이터를 참조해야하므로 속도가 비교적 느림

• 출처: https://jeong-pro.tistory.com/80

Cookie

• 웹서버와 브라우저는 애플리케이션을 사용하는 동안 필요한 값을 쿠키를 통해 공유하여 상태를 유지함
• 사용자를 구분할 수 있는 방법이 필요하기때문에 쿠키를 이용함
  • HTTP는 비연결지향: 요청, 응답 과정이 끝나면 연결이 끊기기때문에 사용자 확인이 어려움
• 쿠키 생성후, 요청 URL 날릴때마다 URL(요청)에 해당하는 저장한 쿠키를 브라우저가 갖고있다면 요청정보와 함께 쿠키를 서버로 보냄
  • 사용자가 접속해서 들어옴 -> 서버가 사용자 이름을 기억하고싶음
  • 서버 says "hey 브라우저야 사용자 이름 좀 저장해줘"
  • 브라우저 says "ok 이름 쿠키에 저장할게"
  • 브라우저가 사용자 이름을 쿠키에 저장함
  • 브라우저 says "나 #@(F#%B)라는게 필요해~ 이거하는데 필요한 쿠키정보도 같이 보내줄게"
  • 서버 says "근데 너가 누구야 아 쿠키보내줬구나 까서 볼게~ 아하 저번에 온 사용자 A로군~"

구성요소

• 이름
• 값
• 유효시간(초)
• 도메인
  • ex) www.somehost.com, .somehost.com
  • 보안때문에 쿠키의 도메인이 쿠키를 생성한 도메인을 벗어나면 브라우저는 쿠키를 저장(생성)하지 않는다.
  • 설정안하면 톰캣서버 기본정보

동작 방식

• 쿠키 생성 단계
  • 생성한 쿠키를 응답데이터의 헤더에 저장하여 웹브라우저에 전송
  • 예시
    • 1) 사용자가 request 날림
    • 2) 서버가 response하는 시점에 setCookieHeaeder 라는걸 통해서 response
    • 3) 브라우저가 그 응답header를 보고 '아 쿠키를 만들어야하구나' 하고 쿠키를 만듬
• 쿠키 저장 단계
  • 웹 브라우저는 응답데이터에 포함된 쿠키를 쿠키 저장소에 보관
  • 쿠키 종류에 따라 메모리나 파일에 저장
• 쿠키 전송 단계
  • 웹브라우저는 저장한 쿠키를 요청이 있을 때마다 웹서버에 전송(삭제되기전까지)
  • 사용자가 웹서버에 요청할때마다, 요청한 url에 맞는 저장된 유효한쿠키가있는지 부터 확인해서 그 쿠키를 요청시에 함께 던짐
    • ex) 책갈피기능, 5페이지까지 읽었네 쿠키에저장 나중에오면 5페이지부터 펴져서 읽을 수 있음
  • 웹서버는 브라우저가 전송한 쿠키를 사용하여 필요한 작업을 수행

예제 T05_ServletCookieTest

쿠키 설정

1. 쿠키 객체 생성

• Cookie cookie = new Cookie("key값", "value값");
• 사용 불가 문자: 공백, =,"/?@:;
• 쿠키값은 사용불가문자를 제외한 나머지 아스키 문자 사용 가능
• 이외의 값(ex: 한글)을 사용시에는 URLEncoder.encode()를 사용하여 인코딩 처리를 해준다.

2. 쿠키 최대 지속시간 설정

• cookie.setMaxAge(60*60*24)
  • 24시간
• 초단위
• 지정하지 않으면 브라우저를 종료할 때 쿠키를 함께 삭제한다

3. 응답헤더에 쿠키 객체를 추가

• response.addCookie(cookie);
• 응답헤더를 통해서 브라우저에 전달하기 때문에 출력버퍼가 플러시된 이후에는 쿠키를 추가할 수 없다

private void setCookieExam(HttpServletRequest req, HttpServletResponse resp) throws IOException {
  // 1. 쿠키 생성하기
  Cookie userId = new Cookie("userId", req.getParameter("userId"));

  // 2. 쿠키값에 한글을 사용시 인코딩 처리를 해준다.
  Cookie name = new Cookie("name", URLEncoder.encode(req.getParameter("name"), "utf-8"));

  // 3. 쿠키 소멸 시간 설정(초단위) => 지정하지 않으면 웹브라우저 종료할 때 쿠키를 함께 삭제
  userId.setMaxAge(60*60*24); // 1일
//name.setMaxAge(60*60*48); // 2일

  // 4. 응답헤더에 쿠키 추가하기
  resp.addCookie(userId);
  resp.addCookie(name);

  // 5. 응답헤더에 인코딩 및 Content-Type 설정
  resp.setCharacterEncoding("utf-8");
  resp.setContentType("text/html");

  // 6. 응답 헤더에 출력
  PrintWriter out = resp.getWriter();
  String title = "쿠키설정 예제";
  out.println("<!DOCTYPE html>\n"
            + "<html>\n"
            + "  <head>\n"
            + "    <title>" + title + "</title>"
            +	"  </head>\n"
            + "  <body>\n"
            + "    <h1 align=\"center\">" + title + "</h1>\n"
            + "    <ul>\n"
            + "      <li><b>ID</b>: "
            +		   req.getParameter("userId") + "</li>\n"
            +	"	   <li><b>이름</b>:"
            + 	   req.getParameter("name") + "</li>\n"
            + "    </ul>\n"
            + "  </body>\n"
            + "</html>\n");
}

결과

• 
• 
  • 파라미터값: name = 고길동 userId = dooli
  • name: 고길동
    • setMaxAge()하지않았더니 session으로 설정됨 (브라우저 종료시 종료)
    • Cookie name = new Cookie("name", URLEncoder.encode(req.getParameter("name"), "utf-8")); 인코딩 처리되어서 화면에는 잘 보임

쿠키 읽기

private void readCookieExam(HttpServletRequest req, HttpServletResponse resp) throws IOException {

  Cookie cookie = null;

  // 현재 도메인에서 사용중인 쿠키 정보 배열 가져오기
  Cookie cookies [] = req.getCookies();

  // 응답헤더에 인코딩 및 ContentType 지정
  resp.setCharacterEncoding("utf-8");
  resp.setContentType("text/html");

  PrintWriter out = resp.getWriter();
  String title = "쿠키 정보 읽기 예제";

  out.println("<!DOCTYPE html>\n"
             + "<html>\n"
             + "<head><title>" + title + "</title></head>\n"
             + "<body>\n");
  if(cookies != null) {
      out.println("<h2>" + title + "</h2>");
      for (int i = 0; i < cookies.length; i++) {
          cookie = cookies[i];
          out.print("name : " + cookie.getName() +"<br>");
          out.print("value : " + URLDecoder.decode(cookie.getValue(), "utf-8") +"<br>");
          out.print("<br>");
      }
  }else {
      out.println("<h2>쿠키 정보가 없습니다.</h2>");
      out.println("</body");
      out.println("</html");
  }
}

결과

• 
  • 
  • 브라우저를 종료하지 않아서 쿠키가 아직 남아있음
• 
  • 
  • 브라우저 재시작하니 setMaxAge를 설정해줬던 userId만 남아있음

쿠키 삭제

1. 사용중인 쿠키 정보를 이용해 쿠키 객체 생성

2. 쿠키 객체의 최대 지속시간을 0으로 설정

3. 설정한 쿠키객체를 응답헤더에 추가하여 전송

private void deleteCookieExam(HttpServletRequest req, HttpServletResponse resp) thrwos IOException {

  Cookie cookie = null;

  // 현재 도메인에서 사용중인 쿠키 정보 배열 가져오기
  Cookies[] cookies = req.getCookies();

  // 응답헤더에 인코딩 및 Content-Type설정
  resp.setCharacterEncoding("utf-8");
  resp.setContentType("text/html");

  PrintWriter out = resp.getWriter();
  String title = "쿠키정보 삭제 예제";

  out.println("<!DOCTYPE html>\n"
            + "<html>\n"
            + "<head><title> + title + </title></head>\n"
            + "<body>\n");

  if (cookies != null) {
      out.println("<h2>" + title + "</h2>");

      for (int i = 0; i < cookies.length; i++) {
          cookie = cookies[i];

          if(cookie.getName().equals("userId") ) {
              // 쿠키 제거하기
              cookie.setMaxAge(0);
              resp.addCookie(cookie);
              out.print("삭제한 쿠키 : " + cookie.getName() + "<br>");
          }
          out.print("name : " + cookie.getName() + ", ");
          out.print("value : " + URLDecoder.decode(cookie.getValue(), "UTF-8"));
      }
  } else {
      out.println("<h2>국희정보가 업습니다.<h2>");
  }

}

결과

• 
  • 
  • 쿠키가 잘 삭제됨!

Session

• Provides a way to identify a user across more than one page request or visit to a Web site and to store information about that user.
  • Java ee api
• 쿠키처럼 사라지지 않고 서버에 데이터를 저장
  • 장: 쿠키를 사용할 때보다 보안이 향상된다.
  • 단: 서버의 자원을 사용하기 때문에 속도 저하도 올 수 있음
• 세션은 세션ID를 이용해 사용자(웹브라우저)별로 구분하여 정보를 관리할 수 있다.
  • 세션 객체에 접근하기 위해서는 session id가 필요
  • session id를 key값으로 필요한 정보를 꺼내올 수 있음
  • 로그인 시(= 사용자 요청 시) 사용자 별로 필요한 정보 저장 (ex 세션이 만료되었습니다. 재로그인해주세요 할때 보는 그 세션)
• 세션을 이용하지 않으면 상태값이 저장되지 않음
  • 새로고침할때마다 새로운 사람으로 인식

세션 생성 방법

• HttpSession session = request.getSession(boolean값);
  • true: 세션 객체가 존재하지 않으면 새로 생성한다 (안넣어도 true)
  • false: 세션 객체가 존재하지 않으면 null을 리턴한다 (세션 유무 확인시 쓰임)

세션 삭제 방법

• invalidate() 메서드 호출
• setMaxInactiveInterval(int interval) 메서드 호출
  • 일정시간(초)동안 요청이 없으면 세션객체 삭제됨
• web.xml에 ＜session-config＞ 설정하기 (분단위로 설정함.)

예제

• T06_ServletSessionTest.java

@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

  // 세션을 가져오는 데 없으면 새로 생성한다
  HttpSession session = req.getSession(true);

  // 세션 삭제
//session.invalidate(); // 1번 방법
//session.setMaxInactiveInterval(20); // 2번 방법: 20초
  // 생성시간 가져오기
  Date createTime = new Date(session.getCreationTime());

  // 마지막 접근시간 가져오기
  Date lastAccessTime = new Date(session.getLastAccessedTime());

  String title = "재방문을 환영하니다.";
  int visitCount = 0; // 방문횟수
  String userId = "chichi";

  if (session.isNew()) {
    title = "처음 방문을 환영합니다.";
    session.setAttribute("userId", userId); // 키값, 밸류값
  }else {
    visitCount = (Integer)session.getAttribute("visitCount"); // 세션에 있는 기존 값
    visitCount++;
    userId = (String) session.getAttribute("userId");
  }

  System.out.println("방문횟수 : " + visitCount); // 서버단에서 한번 콘솔에 찍어본것 화면과 상관x
  session.setAttribute("visitCount", visitCount); // 세션에 ++된 방문수 저장

  // 응답헤더 html 코드 출력
  // 생략
}

web.xml

• 세션 삭제를 위한 설정: 분 단위

<session-config>
  <session-timeout>1</session-timeout>
</session-config>

결과

• 
  • 첫방문
• 
  • 재방문

참고

• https://jeong-pro.tistory.com/80