00. 쿠키와 세션을 사용하는 이유
- 비연결지향, 무상태의 특성을 가진 http에서, 클라이언트와 서버 간의 지속적인 관계를 유지하기 위해서 쿠키와 세션이 존재한다.
❗예시 상황 :
로그인을 한 후에, 다른 요청을 보내면 http의 특성 상, 상태(로그인 상태)가 유지되지 않기 때문에, 로그인이 필요한 정보에 접근할 수 없는 문제가 발생한다.
01. 쿠키(Cookie)🍪
-
서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각
-
사용자가 웹사이트를 방문할 경우, 해당 웹사이트의 서버를 통해 사용자의 컴퓨터에 설치(placed-on)되는 작은 기록 정보 파일이다.
-
쿠키를 기반으로 http에서 상태 정보를 유지할 수 있다.
1) 쿠키의 동작 방식
1. 사용자가 웹사이트에 방문하면 해당 웹사이트의 서버는 쿠키를 사용자의 웹 브라우저에 전송한다.
2. 브라우저(클라이언트)는 쿠키를 로컬에 key-value의 데이터 형식으로 저장해둔다.
3. 쿠키를 저장해 놓았다가, 동일한 서버에 재 요청을 할 때, 저장된 쿠키를 함께 전송하게 된다.
4. 웹 서버가 응답을 할 때, 갱신할 쿠키가 있으면 갱신해서 브라우저에 쿠키를 전송한다.
📌요약: 웹페이지에 접속하면 요청한 웹 페이지를 받으면서 로컬에 쿠키를 저장하고, 클라이언트가 같은 서버에 다시 요청하면, 쿠키도 함께 전송된다.
2) 쿠키의 사용 목적🔍
-
상태가 없는(stateless) HTTP 프로토콜에서 상태 정보를 기억시켜 주기 때문에, 사용자의 로그인 상태를 유지할 수 있다.
- HTTP 쿠키는 상태가 있는 session(세션)을 만들어 준다; 로그인 세션
- 세션 관리(Session management)
- 로그인, 아이디 자동 완성, 공지 하루 안보기, 팝업체크, 장바구니 등의 정보 관리
- 개인화(Personalization)
- 사용자 선호, 테마 등의 설정
- 트래킹(Tracking)
- 사용자 행동을 기록 및 분석
✔ 쿠키는 소프트웨어가 아니므로 프로그램처럼 실행될 수 없기 때문에 악성코드를 설치해 놓을 수는 없지만, 사용자의 행동을 추적하거나 쿠키를 훔쳐서 해당 사용자의 계정 접근 권한을 획득할 수도 있다.
02. 세션(Session)
- 사이트와 특정 브라우저(사용자) 사이의 상태(state)를 유지시키는 것
1) 세션 동작 방식
클라이언트가 서버에 접속하면 서버가 특정 session id를 발급하고, 클라이언트는 발급받은 session id를 쿠키에 저장한다.
클라이언트가 다시 서버에 접속하면, 요청과 함께 쿠키(session id가 저장되어 있음)를 서버에 전달한다.
쿠키는 요청 때마다, 서버에 함께 전송되므로 서버에서 session id를 확인해서 알맞은 로직을 처리한다.
- 각 클라이언트에게 고유 id를 부여한다. → 세션 id로 클라이언트를 구분해서 클라이언트의 요구에 맞는 서비스를 제공한다.
- session id는 세션을 구별하기 위해 필요하며, 쿠키에는 id만 저장한다.
03. 쿠키와 세션의 차이
- 쿠키와 세션은 비슷한 역할을 하며, 동작 원리 또한 비슷하다.
- 세션도 쿠키(세션 id)를 사용하기 때문이다.
- 사용자의 정보가 저장되는 위치📌
- 쿠키: 로컬 → 서버의 자원을 사용하지 않는다.
- 세션: 서버 → 서버의 자원을 사용한다. 무분별하게 만들면 서버의 메모리가 감당할 수 없게 되며, 속도가 느려질 수 있다.
- 보안 면에서 세션이 더 우수하다.
- 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나, request 단계에서 스니핑 당할 우려가 있다.
- session은 쿠키를 이용해 session id만 저장하고, 그것으로 클라이언트를 구분하여 서버에서 처리하기 때문에 비교적 보안성이 좋다.
- 요청 속도는 쿠키가 세션보다 빠르다. 그 이유는 세션은 서버에서의 처리가 필요하기 때문이다.
- 라이프 사이클
- 쿠키: 만료 시간이 있지만, 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다.
- 세션: 브라우저가 종료되면 만료시간에 상관없이 삭제된다.
