쿠키와 세션은 왜 사용할까?
HTTP 통신은 비연결성, 비상태성이라는 특징을 가지고 있다. 이를 보완하기 위해 쿠키와 세션을 사용한다.
비연결성 (Connectionless)
클라이언트가 서버에게 요청(request)을 보낸 후, 서버는 응답(response)을 전송하고 연결을 끊는다.
비상태성 (Stateless)
서버는 클라이언트의 상태 정보를 유지하지 않기 때문에 응답을 보낸 후 클라이언트의 상태를 알 수 없다.
쿠키
쿠키는 클라이언트가 웹 사이트를 방문할 때 서버에서 사용자의 컴퓨터에 저장하는 작은 기록 정보 파일 이다.
HTTP에서 클라이언트의 상태 정보를 클라이언트의 PC에 저장하였다가 필요시 정보를 참조하거나 재사용할 수 있다.
사용 예시
- 로그인 시 "아이디와 비밀번호를 저장하시겠습니까?"라는 메시지
- 팝업창에서 "오늘 이 창을 다시 보지 않기" 체크박스
특징
이름,값,만료일,경로 정보로 구성되어 있다.- 클라이언트에 총
300개의 쿠키를 저장할 수 있다. 하나의 도메인 당 20개의 쿠키를 가질 수 있다.- 하나의 쿠키는 4KB까지 저장 가능하다.
동작 순서
- 클라이언트가 웹사이트에 접근(페이지 요청)
- 웹 서버는 쿠키를 생성
- 클라이언트에게 HTTP 화면을 돌려줄 때 생성한 쿠키를 함께 전송
- 클라이언트는 쿠키를 로컬 PC에 저장하고, 다시 서버에 요청할 때 쿠키를 함께 전송
- 동일 사이트 재방문 시 클라이언트의 PC에 해당 쿠키가 있는 경우, 요청 페이지와 함께 쿠키를 전송
세션
사용 예시
화면을 이동해도 로그인이 풀리지 않고 로그아웃하기 전까지 유지
특징
- 웹 서버에 상태 정보를 저장
- 쿠키보다 비교적 보안이 우수
- 브라우저를 닫거나, 서버에서 세션을 삭제했을 때만 삭제됨
- 저장 데이터에 제한이 없음 (서버 용량이 허용하는 한에서)
- 각 클라이언트에 고유 Session ID를 부여하여 클라이언트를 구분하고 맞춤 서비스를 제공
동작 순서
- 클라이언트가 페이지 요청
- 서버는 접근한 클라이언트의 Request-Header 필드인 Cookie를 확인하여, 클라이언트가
해당 Session ID를 보냈는지 확인. - Session ID가 없을 시, 서버는 Session ID를 생성해 클라이언트에게 전송
- 클라이언트는 서버로부터 받은 Session ID를 쿠키에 저장
- 클라이언트는 서버에 요청시 이 쿠키의 Session ID 값을 같이 서버에 전달
- 서버는 전달받은 Session ID로 세션에 있는 클라이언트 정보를 확인하고 요청을 처리 후 응답
쿠키와 세션 비교
쿠키와 세션의 대표적인 차이점은 상태 정보의 저장 위치이다.
쿠키는 클라이언트(로컬PC) 에 저장하고, 세션은 서버에 저장한다.
보안
- 쿠키는 변질 우려로 인해 보안이 취약하다.
- 세션은 비교적 보안성이 좋다.
유지
- 쿠키는 만료 기간을 지정할 수 있으며, 브라우저 종료 시에도 유지된다.
- 세션은 브라우저 종료 시 삭제된다.
속도
- 쿠키는 클라이언트 측에서 작동하므로 빠르다.
- 세션은 서버 측에서 작동하므로 상대적으로 느리다.
ref.
https://dev-coco.tistory.com/61#head1
https://judahhh.tistory.com/46
https://pearlluck.tistory.com/14
