0. 쿠키/세션을 쓰는 이유는 뭘까?
텍스트HTTP의 특징은 2가지가 있다.
1. Stateless 프로토콜
클라이언트의 상태 정보를 가지지 않는 서버 처리 방식이다.
어떠한 이전 요청과도 무관한 각각의 요청을 독립적인 트랜잭션으로 취급하는 통신 프로토콜이다.
2. Connectionless 프로토콜
클라이언트가 서버에 요청을 했을 때, 그 요청에 맞는 응답을 보낸 후 연결을 끊는 처리 방식이다.
연결을 유지하기 위한 리소스를 줄이면 더 많은 연결을 할 수 있으므로 비 연결적인 특징을 갖습니다.
-> 하지만 실제로는 데이터 유지가 필요한 경우가 많으므로 쿠키/세션을 사용합니다.
1.🍪🍪 쿠키(Cookie) 🍪🍪
- 쿠키는 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일입니다.
- 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지된다는 특징이 있습니다.
- Response Header에 Set-Cookie 속성을 사용하면 클라이언트에 쿠키를 만들 수 있습니다.
쿠키의 동작 방식
- 클라이언트가 페이지를 요청
- 서버에서 쿠키를 생성
- HTTP 헤더에 쿠키를 포함시켜 응답
- 브라우저가 종료되어도 쿠키 만료 기간이 있다면 클라이언트에서 보관하고 있음.
- 같은 요청을 할 경우 HTTP 헤더에 쿠키를 함께 보냄.
- 서버에서 쿠키를 읽어 이전 상태 정보를 변경 할 필요가 있을 때 쿠키를 업데이트 하여 변경된 쿠키를 HYYP 헤더에 포함시켜 응답
2. 세션
- 새션은 쿠키를 기반하고 있지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리 세션은 서버측에서 관리합니다.
- 서버에서는 클라이언트를 구분하기 위해 세션 ID를 부여하며 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지합니다.
- 쿠키보다 보안에 좋지만 사용자가 많아질수록 서버 메모리를 많이 차지하게 됩니다.
세션의 동작 방식
- 클라이언트가 서버에 접속 시 세션 ID를 발급 받음
- 클라이언트는 세션 ID에 대해 쿠키를 사용해서 저장하고 가지고 있음
- 클라이언트는 서버에 요청할 때, 이 쿠키의 세션 ID를 같이 서버에 전달해서 요청
- 서버는 세션 ID를 전달 받아서 별다른 작업없이 세션 ID로 세션에 있는 클라이언트 정보를 가져와서 사용
- 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답
3. 쿠키와 세션의 비교
- 저장위치
- 쿠키는 클라이언트, 세션은 서버에 저장된다.
- 보안
- 세션이 쿠키보다 비교적 보안이 좋다.
- 라이프 사이클
- 쿠키는 만료 기간을 지정, 브라우저 종료시에도 유지
- 세션은 브라우저 종료시 삭제
- 속도
- 쿠키가 세션보다 빠르다. (세션은 서버에 정보가 있어 느리다)
참고 자료 😎
1. https://victorydntmd.tistory.com/286
2. https://ryusae.tistory.com/7
3. https://interconnection.tistory.com/74
어제보단 오늘이 더 강한 웹/앱 개발자입니다