쿠키
- 클라이언트가 서버에 방문한 정보를 클라이언트 단에 저장하는 작은 파일을 의미한다.
- 클라이언트의 브라우저 메모리 혹은 하드디스크에 저장이 된다. (↔ 세션)
- 매번 서버에 전송되므로 크기가 클 경우 서버에 부담이 갈 수 있다.
- SameSite 옵션이 Strict가 아닌 경우, 다른 도메인에서 요청할 때도 자동 전송되는 위험성이 있다. (CSRF 취약)
- 대략
4KB
까지의 데이터를 저장할 수 있으며 유효 기간이 존재한다.
- 대부분의 브라우저가 지원한다.
웹스토리지
- 클라이언트에 데이터를 저장할 수 있도록 HTML5부터 새롭게 지원하는 저장소이다.
- 키(Key)와 값(Value)의 쌍 형태로 데이터를 저장한다.
- 쿠키와 달리, 서버에 전송되지 않으므로 서버에 부담이 가지 않는다. (명시적으로만 전송 가능)
- 쿠키와 달리, 필요한 경우에만 꺼내 쓰는 것이므로 자동 전송의 위험성이 없다. 다른 도메인에서 요청하는 경우에는, 꺼내 쓰고 싶어도 도메인 단위로 접근이 제한되는 특성 덕분에 값을 꺼내 쓸 수 없다. (CSRF 안전)
- 쿠키와 달리, 대략 5MB까지의 데이터를 저장할 수 있으며 유효 기간이 존재하지 않는다.
- HTML5를 지원하지 않는 브라우저에서는 사용할 수 없다.
- 종류로는 로컬 스토리지(Local Storage)와 세션 스토리지(Session Storage)가 있다. 이들은 window 객체의 프로퍼티로서 존재하며, 같은 Storage 객체를 상속하기 때문에 동일한 메소드들을 가진다. 이 둘의 가장 큰 차이점은 데이터의 영구성이다.
로컬스토리지
window.localStorage
객체
- 브라우저를 종료해도 유지되는 데이터로, 명시적으로 지우지 않는 한 영구적으로 저장된다.
- 도메인별로 생성되며, 다른 도메인의 로컬 스토리지에는 접근이 불가능하다.
- 서로 다른 브라우저 탭이라도 동일한 도메인이라면 동일한 로컬 스토리지를 사용한다.
- 지속적으로 필요한 정보를 저장하기에 좋다. (ex. 자동 로그인 등)
세션스토리지
window.sessionStorage
객체
- 세션 쿠키와 달리, 탭/윈도우 단위로 세션 스토리지가 생성된다. 즉 window 객체와 동일한 유효 범위 및 생존 기간을 가지며, 탭/윈도우를 닫을 시 데이터가 삭제된다. 또한 동일한 탭/윈도우라도 다른 도메인이라면 또 다른 세션 스토리지가 생성된다.
- 서로 다른 세션 스토리지는 서로 영향을 주지 않으며 독립적으로 동작한다.
- 윈도우 복제로 생성된 경우, 혹은 스크립트로 새 창을 연 경우 세션 스토리지가 복제되어 생성된다.
- 잠시 동안 필요한 정보를 저장하기에 좋다. (ex. 입력 폼 저장, 일회성 로그인 등)
쿠키와 세션
(1) 쿠키
1) 설명 : 클라이언트측에 저장되는 서버측 정보(부스러기)
2) 제한 크기 : 4KB 이하 제한/개(사이트)
3) 제한 갯수 : 300 개
4) 최대로 저장 가능한 쿠키의 용량 : 1.2 MB
5) 종류
<1> 클라이언트의 하드 디스크에 저장되는 쿠키(파일)
<2> 클라이언트의 메모리에 존재하는 쿠키
( 브라우져가 열려져 있을 때까지만 존재 )
1> JSessionID
2> setMaxAge(0 || 음수) -> (MaxAge 기본값 -1)
6) 주의
<1> 한글이 지원 안된다.
<2> MaxAge 가 지났을 때, 하드의 파일에는 지워지지 않지만
CookieGet.jsp를 실행하게 되면 MaxAge가 지난 Cookie는
검출되지 않는다.
(2) 세션
1) 설명 : HTTP 프로토콜은 무상태(stateless)프로토콜
이기때문에 상태를 유지할 수 없다.
세션이라는 기술은 그 상태 정보를 유지할 수 있도록
만들어진 "기술"이다.
ex) 쇼핑몰의 장바구니, 로그인, ...
2) 원리 : 클라이언트의 첫번째 요청에 의해서 서버측
메모리에는 JSessionId라는 ID로 해당 클라이언트를
위한 방(공간)이 만들어지고, 첫번째 답변으로 그
JSessionId를 쿠키 형태로 클라이언트에게 전달한다.
다음 요청부터는 클라이언트가 JSessionId을 가지고
서버에게 요청함으로써 서버는 그 클라이언트를 식별
할 수 있고, 그 클라이언트의 방을 공유할 수 있게 한다.
따라서, 그 방에 있는 객체(세션변수값==세션속성값)들로
상태정보를 유지 할 수 있는 것이다.
3) 주의
같은 서버에서는 하나의 클라이언트의 브라우져에 대해서
WebApplication(Context)마다 JSessionId가 따로 생성된다.
ex) Tomcat 서버
cf1) 위의 사항은 서버마다 차이가 있을 수 있다.
cf2) 증명( 같은 브라우져에서 )
[1] NewContext WebApp 호출
http://~/nc/JSP/mutiAppSession/multiApp.jsp
-> jsId : 6B7800F047F22D76CC261C87575EFC06
[2] Root WebApp 호출
http://~/JSP/mutiAppSession/multiApp.jsp
-> jsId : B7E6A183517F3B54B89967F316C2CA83