[Spring] 쿠키 & 세션

Kyungmin·2024년 3월 11일
Spring
0

Spring

목록 보기
6/39

쿠키 / 세션이란?

쿠키와 세션 모두 HTTP 에 상태 정보를 유지(Stateful)하기 위해 사용됩니다. 즉, 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가를 할 수 있게 됩니다.

⭐️ 쿠키(Cookie)

  • 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일
  • 개발자 도구에서 클라이언트인 웹 브라우저에 저장된 '쿠키'를 확인 가능하다.
  • Name (이름): 쿠키를 구별하는 데 사용되는 키 (중복될 수 없음)
  • Value (값): 쿠키의 값
  • Domain (도메인): 쿠키가 저장된 도메인
  • Path (경로): 쿠키가 사용되는 경로
  • Expires (만료기한): 쿠키의 만료기한 (만료기한 지나면 삭제)

쿠키 생성 코드(addCookie)

public static void addCookie(String cookieValue, HttpServletResponse res) {
        try {

            // Cookie Value 에는 공백이 불가능해서 encoding 진행
            cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20");

            // Name-Value 쿠키 객체에 담는다. -> 쿠키를 생성한다.
            Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue); // Name-Value
            cookie.setPath("/");
            cookie.setMaxAge(30 * 60);  // 만료 기한

            // Response 객체에 Cookie 추가
            res.addCookie(cookie);
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException(e.getMessage());
        }
    }
  • HttpServletResponse : Servlet 에서 만들어 준 response 객체에다가 어떤 데이터를 담게 되면 클라이언트로 자연스럽게 변환을 시켜준다.

쿠키 읽기 코드(addCookie)

@GetMapping("/get-cookie")
    public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {
        System.out.println("value = " + value);

        return "getCookie : " + value;
    }
  • HttpServletResponse 에 들어있는 쿠키 중에서 "Authorization" 이라는 이름으로 된 쿠키를 "@CookieValue(AUTHORIZATION_HEADER) String value" 이 가지고 온다.

⭐️ 세션(Session)

  • 서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용됩니다.
  • 서버에서 클라이언트 별로 유일무이한 '세션 ID' 를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장합니다.
  • 서버에서 생성한 '세션 ID' 는 클라이언트의 쿠키값('세션 쿠키' 라고 부름)으로 저장되어 클라이언트 식별에 사용됩니다.

세션 동작 방식

  1. 클라이언트가 서버에 1번 요청
  2. 서버가 세션ID 를 생성하고, 쿠키에 담아 응답 헤더에 전달
    • 세션 ID 형태: "SESSIONID = 12A345"
  3. 클라이언트가 쿠키에 세션ID를 저장 ('세션쿠키')
  4. 클라이언트가 서버에 2번 요청
    • 쿠키값 (세션 ID -> "SESSIONID = 12A345") 포함하여 요청
  5. 서버가 세션ID 를 확인(검증)하고, 1번 요청과 같은 클라이언트임을 인지(아? 같은 세션이구나!)

세션 생성 코드(createSession)

// HttpServletRequest : sevlet 에 요청이 들어왔을 때 만들어진다.
@GetMapping("/create-session")
public String createSession(HttpServletRequest req) {
 	// 세션이 존재할 경우 세션 반환(true), 없을 경우 새로운 세션을 생성한 후 반환
    HttpSession session = req.getSession(true);

    // 세션에 저장될 정보 Name - Value 를 추가
    session.setAttribute(AUTHORIZATION_HEADER, "lee");

    return "createSession";
 }

  • session.setAttribute(AUTHORIZATION_HEADER, "lee"); 를 해주게 되면서 (name-value 삽입) 해당하는 그 ID의 유일무의한 ID를 만들어서 위와 같이 반환을 해주는 것을 볼 수 있다.

세션 읽기 코드(getSession)

 @GetMapping("/get-session")
public String getSession(HttpServletRequest req) {
        // 세션이 존재할 경우 세션 반환(false), 없을 경우 null 반환
        // if 문으로 null 체크 활용 가능
        HttpSession session = req.getSession(false);

        String value = (String) session.getAttribute(AUTHORIZATION_HEADER); // 가져온 세션에 저장된 Value 를 Name 을 사용하여 가져옵니다.
        System.out.println("value = " + value);

        return "getSession : " + value;
    }

...

📝 reference

https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-JWTjson-web-token-%EB%9E%80-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC

  • 쿠키, 세션, JWT 에 대한 설명이 잘 나와있는 블로그의 글
profile
Kyungmin
Backend Developer
이전 포스트

[Spring] Dispatcher Servlet

다음 포스트

[Spring] 이메일 인증(Google)

0개의 댓글

관련 채용 정보