Cookie와 Session

HTTP의 무상태성(Stateless)

Cookie와 Session를 다루기 앞서 HTTP의 무상태성(Stateless)를 이해해야 한다.

HTTP의 무상태성(Stateless)이란, 서버와의 통신이 끝나면 원래의 상태로 되돌아가는 것을 의미한다.

애초에 클라이언트의 상태를 서버가 보존조차 하지 않는다는 것으로 클라이언트가 서버에게 로그인 요청을 넣어 응답을 받았어도 해당 통신이 끝나면 로그인이 되어 있던 상태는 종료된다.

무상태성의 장점

1. 클라이언트의 요청이 증가하면, 기존의 서버에 다른 서버를 추가해 대응할 수 있다.

   • 상태를 저장하지 않기 때문에 클라이언트는 서버에 요청을 보낼 때, 필요한 상태 정보를 전부 담아 보내줘야 한다. 그러므로 서버가 임의로 바뀌어도 전혀 상관이 없다
   • 무한 서버 증설이 가능하다.

2. 서버의 장애가 발생했을 때, 대응을 빠르게 할 수 있다.

   • 서버에 장애가 발생하면 클라이언트의 요청을 바로 다른 서버로 넘겨 응답을 받을 수 있도록 한다.

3. 스케일아웃(수평 확장)에 유리하다.

무상태성의 단점

1. 상태를 유지해야 하는 상황이 발생하는 경우가 있다.(로그인)
2. 상태값이 매번 리프레쉬 되므로 항상 같은 정보를 보내야 한다. -> 많은 데이터 전송

💡 무상태성이 치명적인 단점을 안고있다고 생각했으나 서버를 구축할 때는 최대한 무상태성을 유지하며 설계하는 것이 바람직하다. 또한, 상태를 유지해야 하는 경우에는 브라우저의 쿠키와 세션을 사용한다.(상태 유지는 어쩔 수 없는 경우에만 최소한으로 사용할 것)

Cookie🍪

Cookie🍪?

• 서버에서 클라이언트의 데이터를 저장하는 하나의 방법
• 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일
• 클라이언트의 상태 정보(ex. 로그인 정보)를 로컬(브라우저)에 저장했다가 참조한다.
• 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 요청 시에 Request Header에 넣어 자동으로 서버에 전송한다.
• 💡주의할 점 : 쿠키는 오랜 시간 유지될 수 있고, 자바스크립트를 이용해 쿠키에 접근할 수 있기 때문에 민감한 정보를 담는 것은 위험하다.

Cookie🍪의 옵션

쿠키는 요청 없이도 브라우저가 자동으로 서버에 전송한다고 했지만 아무때나 데이터를 가져올 수 있는 것은 아니다. 데이터를 쿠키에 저장한 후 특정 조건에 만족하는 경우에만 다시 가져올 수 있다.

이런 특정 조건을 쿠키 옵션이라고 한다.

Domain

쿠키 옵션에 저장되어 있는 도메인 정보와 요청 해야하는 URL의 도메인과 같아야 한다. 이때 도메인은 서브도메인 및 포트, 세부 경로는 포함하지 않는다.

☝️ 서브도메인 : www.google.com에서 www 에 해당한다.

예를 들어, 쿠키 옵션에 naver.com이 저장되어 있다고 친다면, 내가 google.com에서 저 쿠키를 전송할 수는 없다는 것이다.

Path

도메인과 마찬가지로 쿠키 옵션에 저장되어 있는 Path, 즉 세부경로와 요청 URL이 같아야 쿠키를 서버에 전송할 수 있다.

다만 주의해야 할 점은 설정된 Path를 전부 만족하는 경우, 하위 세부경로가 있더라도 쿠키를 서버에 전송할 수 있다.
예를 들어 쿠키 옵션의 Path가 /users인데, 요청 세부 경로가 /users/hihi 인 경우는 쿠키 전송 쌉가넝~

MaxAge or Expires

쿠키가 유효한 기간을 정하는 옵션이다. 쿠키가 영원히 남아있게 되면 탈취의 확률이 올라가므로 정해진 유효 기간을 작성하는 것이 바람직하다.

• MaxAge : 초 단위로 유효 기간을 설정하는 옵션.
• Expires : 언제까지 유효할지 날짜를 지정하는 옵션.
  

클라이언트의 시간을 기준으로 설정하며 지정된 시간이 지나면 쿠키는 자동으로 파괴된다.

해당 옵션에 여부에 따라 쿠키의 종류를 나눌 수 있다.

• 세션 쿠키🍪 : 기간 제한 옵션이 없는 쿠키. 브라우저가 실행 중인 상태에서만 사용이 가능한 임시 쿠키이며, 브라우저 종료 시 해당 쿠키는 삭제된다.
• 영속성 쿠키🍪 : 유효 기간 옵션이 있는 쿠키로 브라우저의 종료 여부와는 상관없이 옵션이 정해둔 유효 기간까지 사용할 수 있다.

Secure

쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정하는 옵션.

해당 옵션이 true 일 때, HTTPS 프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있다.

해당 옵션이 없다면 프로토콜에 상관없이 HTTP, HTTPS 에 모든 쿠키를 전송할 수 있다.

HttpOnly

자바스크립트에서 브라우저의 쿠키에 접근 여부를 결정하는 옵션으로 해당 옵션이 true일 경우, 자바스크립트에서 쿠키 접근이 제어된다.

자바스크립트에서 쿠키 접근을 허용하게 되면 XSS 공격에 취약해지기 때문에 필수적으로 명시해줘야 하는 옵션이다.

💡 XSS

SameSite

Cross-Origin요청을 받은 경우 요청에서 사용한 메서드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정하는 옵션.

☝️Cross-Origin이 뭐요..?
Same-Site는 요청을 보낸 Origin(URL)과 서버의 도메인, 프로토콜, 포트가 같은 경우를 말한다. 이 중 하나라도 다르면 Cross-Origin라고 한다.
예시🤯
Origin : https://www.example.com:80,
쿠키 URL : https://api.example.com:80 라면 Cross-Origin

• Lax : Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 =있다.
• Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있다.
• None : 항상 쿠키를 보내줄 수 있다. 다만 쿠키 옵션 중 Secure 옵션이 필요하다. -> HTTPS 프로토콜에서만 가능하다는 의미

해당 옵션을 지정한 다음 서버에서 클라이언트로 쿠키를 처음 전송하게 된다면 헤더에 Set-Cookie라는 프로터피에 쿠키를 담아 전송한다.

이후, 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에 Cookie라는 프로터티에 쿠키를 담아 서버에 쿠키를 전송하게 된다.

💡Same-Origin과 Same-Site의 차이

Cookie🍪의 동작방식

1. 클라이언트가 로그인 정보를 담아 서버에 요청 데이터를 보낸다.
2. 서버는 클라이언트의 요청에 대한 응답을 할 때, 로그인 정보가 담긴 쿠키를 만들어 클라이언트에게 응답 데이터와 함께 보낸다.
3. 웹 브라우저는 서버로 부터 전달 받은 쿠키를 저장해두었다가 클라이언트가 다음 요청을 할 때 자동으로 쿠키를 요청 데이터에 묶어서 서버에 전송한다.
4. 서버는 요청에 들어있는 쿠키를 읽어 클라이언트를 파악한 후 처리한다.

💡기억해야 할 점!
브라우저가 서버에 쿠키를 보내는 일은 브라우저가 자동으로 처리해주지만 서버에서 브라우저로 쿠키를 보낼 때는 개발자가 직접 코드로 구현해주어야 한다.

Session

Session?

• 쿠키를 기반으로 하지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리 세션은 서버에서 관리한다.
• 서버에서 클라이언트를 구분하기 위해 Session Id를 부여한다.
• Session Id는 클라이언트가 요청을 보내면, 서버의 엔진이 클라이언트에게 부여하는 것으로 고유한 값을 가진다.
• 웹 브라우저가 서버에 접속해 접속을 종료할 때까지 인증 상태를 유지한다.
• 접속 시간에 제한을 두어 일정 시간 동안 응답이 없을 경우 인증 상태 유지하지 않도록 설정 가능하다.
• 사용자에 대한 정보를 서버에 저장하기 때문에 쿠키보다 보안에는 강하지만, 사용자의 수가 증가함에따라 메모리를 많이 차지하게 된다.

Session의 특징

• 클라이언트마다 고유한 ID를 부여한다.
• Session Id로 클라이언트를 구분해 클라이언트의 요구에 맞는 서비스를 제공한다.

Session의 동작방식

1. 클라이언트가 서버에게 요청을 보내면 서버는 DB에 클라이언트가 보낸 정보를 저장한다.
2. DB의 세션 스토어는 고유한 Session Id를 반환하고 서버는 쿠키 프로터피인 Set-Cookie에 Session Id를 담아 반환한다.
3. 클라이언트가 새로운 요청을 할 때, 브라우저는 자동으로 서버에게 쿠키를 보내고 쿠키에 담긴 Session Id를 확인해 클라이언트 정보를 업데이트한다.