쿠키, 세션

이학성·2022년 4월 5일
세션쿠키
0
post-custom-banner

로컬 스토리지, 세션, 쿠키 등은 HTTP 프로토콜의 특징이자 약점을 보완하기 위해 사용된다.

HTTP 프로토콜의 특징

1. Connectionless 프로토콜 (비연결 지향)

클라이언트가 서버에 요청(Request)을 보냈을 때, 그 요청에 맞는 응답(Response)을 보낸 후 연결을 끊는 처리방식이다.
연결을 유지하기 위한 리소스를 줄여 과부화를 줄이기 위해 비연결적인 특징을 갖는다.

  • HTTP 1.1 버전에서 커넥션을 계속 유지하며 요청을 재활용하는 기능이 추가되었다. (HTTP Header)에 Keep-alive 옵션을 주어서 재활용이 가능하다. 이는 HTTP 1.1버전에선 디폴트 옵션이다. KeepAlive는 지정된 시간동안 서버와 클라이언트 사이에서 패킷 교환이 없을 경우, 상대방의 안부를 묻기위해 패킷을 주기적으로 보내는것을 말한다. 이 때 패킷에 반응이 없으면 접속을 끊는다.

2. Stateless 프로토콜

Connectionless로 인해 서버는 클라이언트를 식별할 수가 없는데, 이를 Stateless라고 한다.
커넥션을 끊는 순간 클라이언트와 서버의 통신을 끝내며 상태 정보를 유지하지 않는 특성이다.

  • 클라이언트와 첫 번째 통신에서 데이터를 주고 받았다 해도, 두번째 동신에서 이전 데이터는 유지되지 않는다.

즉, 매번 새로운 인증을 해야하는 번거로움이 발생한다.

이를 보안하기 위하여 쿠키와 세션 등을 사용한다.

쿠키(Cookie)

HTTP의 일종으로 사용자가 어떠한 웹 사이트에 방문할 경우, 그 사이트가 사용하고 있는 서버에서 사용자의 컴퓨터에 작은 기록 정보 파일을 저장한다.
HTTP에서 클라이언트의 상태 정보를 클라이언트의 PC에 저장하였다가 필요할 때 정보를 참조하거나 재사용할 수 있다.
쿠키의 데이터 현태는 Key와 Value로 구성되고 String 형태로 이루어져 있다.
쿠키는 서버를 대신해서 이러한 정보들을 웹 브라우저에 저장(정확히는, 웹 브라우저를 이용하고 있는 컴퓨터에 저장)하고
사용자가 요청을 할 때 그 정보를 함께 보내서 서버가 사용자를 식별할 수 있게 해준다.

특징

  • 이름, 값, 만료일(저장기간), 경로 정보로 구성되어 있다.
  • 클라이언트에 총 300개의 쿠키를 저장할 수 있다.
  • 하나의 도메인 당 20개의 쿠키를 가질 수 있다.
  • 하나의 쿠키는 4KB(=4096byte)까지 저장 가능하다.

사용 목적

  1. 세션 관리(Session Management) 로그인, 닉네임, 접속시간, 장바구니 등의 서버가 알아야할 정보들을 저장한다.
  2. 개인화(Personalization) 사용자마다 다르게 그사람에게 맞는 페이지를 제공할 수 있다.
  3. 트래킹(Tracking) 사용자의 행동과 패턴을 분석하고 기록한다.

동작 순서

  1. 클라이언트가 페이지를 요청한다. (사용자가 웹사이트에 접근)
  2. 웹 서버는 쿠키를 생성한다.
  3. 생성한 쿠키에 정보를 담아 HTTP 화면을 돌려줄 때, 같이 클라이언트에게 돌려준다.
  4. 넘겨받은 쿠키는 클라이언트가 가지고 있다가(로컬 PC에 저장) 다시 서버에 요청할 때 요청과 함께 쿠키를 전송한다.
  5. 동일 사이트 재방문 시 클라이언트의 PC에 해당 쿠키가 있는 경우, 요청 페이지와 함께 쿠키를 전송한다.

예시

  • ID 저장, 로그인 상태 유지
  • 일주일간 다시 보지 않기
  • 최근 검색한 상품들을 광고에서 추천
  • 쇼핑몰 장바구니 기능

단점

  1. 개인정보가 기록되기 때문에 사생활 침해의 소지가 있다.
  2. 서버가 가지고 있지 않고 사용자에게 저장되기 때문에 임의로 고치거나 지울 수 있고, 가로채기 쉬워서 보안에 취약하다. 따라서 보안이 중요한 정보를 담는 것은 위험하다.

이러한 단점을 보완해주는 것이 세션이다.

세션(Session)

일정 시간 동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고, 그 상태를 유지시키는 기술이다.
여기서 일정 시간은 방문자가 웹 브라우저를 통해 웹 서버에 접속한 시점부터 웹 브라우저를 종료하여 연결을 끝내는 시점을 말한다.
즉, 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고 그것을 세션이라고 한다.

특징

  • 웹 서버에 웹 컨테이너의 상태를 유지하기 위한 정보를 저장한다.
  • 웹 서버의 저장되는 쿠키(=세션 쿠키)
  • 브라우저를 닫거나, 서버에서 세션을 삭제했을때만 삭제가 되므로 쿠키보다 보안이 좋다.
  • 저장 데이터에 제한이 없다.(서버 용량이 허용하는 한...)
  • 각 클라이언트 고유 Session ID를 부여한다.
  • Session ID로 클라이언트를 구분하여 각 클라이언트 요구에 맞는 서비스 제공

동작 순서

  1. 클라이언트가 페이지를 요청한다. (사용자가 웹사이트 접근)
  2. 서버는 접근한 클라이언트의 Request-Header 필드인 Cookie를 확인하여, 클라이언트가 해당 session-id를 보냈는지 확인한다.
    3.session-id가 존재하지 않는다면, 서버는 session-id를 생성해 클라이언트에게 돌려준다.
  3. 서버에서 클라이언트로 돌려준 session-id를 쿠키를 사용해 서버에 저장한다. 쿠키 이름 : JSESSIONID
  4. 클라이언트는 재접속 시, 이 쿠키(JSESSIONID)를 이용하여 session-id 값을 서버에 전달

profile
이학성
좋은 개발자가 되기 위해
이전 포스트

SSR(서버사이드 렌더링) vs CSR(클라이언트 사이드 렌더링)

post-custom-banner

0개의 댓글