📍 알고가면 좋은 지식
- HTTP의 두가지 특성
- Connectionless(비연결성) : 연결을 맺은 서버-클라이언트 관계에서 클라이언트의 요청에 대해 서버가 응답을 마치면 그 연결을 끊는 성질을 의미한다.
- Stateless(무상태성) : 서버가 요청을 보낸 클라이언트의 상태를 저장하지 않는 성질을 의미한다.
쿠키와 세션
✔ 클라이언트의 상태를 기억하기 위한 수단
1. 쿠키(Cookie)
- 서버에 인증하기 위한 클라이언트의 정보를 클라이언트 단에 저장하는 값.
🍪 쿠키가 생성되는 과정
- 클라이언트가 서버에게 페이지 정보를 요청
- 서버는 클라이언트에 대한 쿠키 생성 후, HTTP 응답 헤더에 쿠키를 포함하여 응답(HTTP response 헤더의
set-cookie) - 클라이언트의 요청과 서버의 응답이 끝나면 HTTP의 비연결성 성질로 인해 연결이 끊김.
- 새로운 요청을 할 경우, 이전에 받은 쿠키값을 보관하고 있다가 HTTP 요청 헤더에 값을 포함하여 요청 (HTTP response 헤더의
cookie) - 서버는 쿠키값을 보고 이전에 요청을 보낸 클라이언트를 인식하고 상태를 기억하여 HTTP의 Stateless성질을 보완함.
🍪 쿠키의 장단점
- 장점
- 별도의 인증과정 없이 서버가 요청을 보낸 클라이언트를 기억할 수 있다
- 지난 번에 검색한 자동완성 기능 등 가벼운 일에 쿠키가 쓰임.
- 단점
- 보안 문제에 취약함. 텍스트 형태로 저장되어 쉽게 수정이 가능하기 때문이다. (따라서 중요하지 않은 정보에만 이용해야 함.
2. 세션(Session)
- 서버에 인증하기 위한 클라이언트의 정보를 서버 단에서 저장 및 관리하는 방식.
- 세션은 클라이언트에 부여한 세션 ID를 통해 기억한다
🔐 세션의 작동방식
- 클라이언트가 서버에게 페이지 정보를 요청
- 서버는 클라이언트에 대한 쿠키 생성 후, HTTP 응답 헤더에 세션 ID값이 담긴 쿠키를 포함하여 응답(HTTP response 헤더의
set-cookie) - 클라이언트의 요청과 서버의 응답이 끝나면 HTTP의 비연결성 성질로 인해 연결이 끊김.
- 새로운 요청을 할 경우, 이전에 받은 쿠키값을 보관(SSID, JSESSIONID 등)하고 있다가 HTTP요청 헤더에 세션 ID값이 담긴 쿠기를 포함하여 요청(HTTP response 헤더의
cookie) - 서버는 쿠키값을 보고 이전에 요청을 보낸 클라이언트를 인식하고 상태를 기억하여 HTTP의 Stateless성질을 보완함.
🔐 세션의 장단점
- 장점
- 쿠키에 비해 비교적 안전하다. 세션 ID는 서버가 발급하고 관리하기 때문에 클라이언트의 정보 자체는 서버에 저장되어 있기 때문이다.
- 로그인 정보를 유지하여 자동 로그인 되는 기능으로 자주 쓰임.
- 단점
- 쿠키에 비해 속도가 느리다. 쿠키는 서버의 헤더를 바로 참조하면 되지만 세션은 세션ID를 주고 받은 다음 인증을 거쳐서 서버의 데이터를 참조해야 하기 때문이다.
- 해킹의 위험성이 여전히 존재함.
✔ Session Hijacking(세션 하이제킹) : 정상통신을 하고 있는 다른 사용자의 세션을 가로채서 별도의 인증 작업 없이 가로챈 세션으로 통신을 계속하는 행위.
쿠키와 세션 비교
| 쿠키 | 세션 | |
|---|---|---|
| 저장 위치 | 클라이언트 | 서버 |
| 저장 형식 | 텍스트 | Object |
| 만료 시점 | 기본적으로 브라우저 종료 | 정확한 시점 모름 |
| 리소스 | 클라이언트의 리소스 | 서버의 리소스 |
| 용량 제한 | 한 도메인 당 20개 | 제한 없음 |
꾸준함의 힘을 아는 개발자📍
좋은 정보 얻어갑니다, 감사합니다.