Cookie
-
서버가 사용자의 위치에 정보를 저장하고 불러올 수 있는 수단(클라이언트에서 관리)
- 특정 호스트에서 생성된 쿠키는 이후 모든 요청마다 서버로 다시 전송
- 이름, 값, 만료 날짜, 경로 정보로 구성
-
클라이언트가 서버에 request를 보내면, 서버가 setCookie를 통해 생성하거나 원하는 값을
key = value로 담아서 response 보낼 수 있음
- 그 이후엔, 쿠키를 지우기 전까지는 자동적으로 그 쿠키가 유지되면서 client와 server사이를 왔다갔다 할 수 있음
-
사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지된다는 특징이 있다.
-
response Header에 Set-Cookie 속성을 사용하면 클라이언트에 쿠키를 만들 수 있다.
-
보안에 취약 ⇒ 이를 보완하기 위해
session이 생김 -
쿠키는 서버가 삭제할수 없음.
expire를 해줘야함
Session
-
서버와 클라이언트의 연결이 활성화 된 상태 자체를 의미
- 서버가 Client에 대해 유일한 ID를 부여하여 서버 측에서 관리
- 일반적으로 이 유일한 Client ID가 서버에서 존재하는 상황을 Session이라고 칭함
- 각 Client ID의 Session 객체 마다 Data를 관리 할 수 있음
- 사용자의 정보 중 보안상 중요한 데이터는 Session에서 관리함
- 클라이언트에 개별적으로 발급되는 세션의 id는
set-cookie에 담겨있음
-
세션의 만료시간
- 서버에 계속 세션객체가 남아있으면 보안도 취약하고, 서버에 부담이 됨
- 따라서 세션의 수명을 지정해줘야함!
Token
- 인증을 위해 사용되는 암호화 된 문자열
- Http 통신의 Stateless 특징과 알맞다
- 유저의 인증 정보를 서버나 세션에 담아두지 않음
- 유저의 활성화 여부를 신경쓰지 않고 넘겨진 요청에 담겨진 Token의 정합성만을 확인
- 서버에서 클라이언트의 상태 정보를 저장하지 않고 클라이언트에서 넘겨지는 요청만으로 작업을 처리하게 되는데 이런 경우 클라이언트 상태관리에 관한 비용이 없기 때문에 서버의 확장성이 높음
- 클라이언트에서 토큰을 저장하고 관리하면서, 서버의 세션 객체에 접근할 때 인증하기 위해 사용됨
🍪️ 블로그 참고 | 쿠키와 세션 개념
