[Web] 쿠키와 세션

HTTP 프로토콜 특징

• 비연결 지향(Connectionless)
  
  클라이언트에서 서버에 요청을 보내면 서버는 클라이언트에 응답을 하고 접속을 끊는 특성이 있다.(HTTP1.1에서 Connection헤더에 keep-alive설정하면 커넥션을 유지할 수 있다.)
• 상태정보 유지 안 함(Stateless)
  
  HTTP 통신은 요청을 응답하고 접속을 끊기 때문에 클라이언트 상태 정보를 알 수 없다.

쿠키와 세션의 필요성

쿠키와 세션의 탄생 → HTTP 프로토콜에서 상태를 유지하기 위함

위와 같은 HTTP 프로토콜의 특징으로 모든 요청간의 의존관계가 없기 때문에 사용자를 인증할 수 없다. 이전 요청과 현재 요청이 같은 사용자의 요청인지 알기 위해서는 상태를 유지해야 한다. HTTP 프로토콜에서 상태를 유지하기 위한 기술로 쿠키와 세션이 있다.

 

쿠키(Cookie)

개념

• 클라이언트 로컬에 저장되는 키와 값이 들어있는 파일이다.
• 이름, 값, 유호 시간, 경로 등을 포함하고 있다.
• 클라이언트의 상태 정보를 브라우저에 저장하여 참조한다.
• 주로 서버에서 생성하여 브라우저에 저장하는 데이터

구성 요소

• 쿠키의 이름(name)
• 쿠키의 값(value)
• 쿠키의 만료시간(Expires)
• 쿠키를 전송할 도메인 이름(Domain)
• 쿠키를 전송할 경로(Path)
• 보안 연결 여부(Secure)
• HttpOnly 여부(HttpOnly)

동작방식

쿠키 동작의 예

1. 클라이언트가 서버에 로그인 요청을 한다.
2. 서버는 상태를 유지하고 싶은 값을 쿠키(cookie)로 생성
3. 서버는 클라이언트의 로그인 요청의 유효성을 확인하고 응답헤더에 'set-cookie: user=chrisjune'을 추가하여 응답한다.
4. 전달받은 쿠키는 웹 브라우저에서 관리하고 있다가 다음 요청 때 쿠키를 HTTP 헤더에 넣어서 전송. 'cookie: user=chrisjune'
5. 서버에서는 쿠키 정보를 읽어 이전 상태 정보를 확인한 후 응답

쿠키 사용 예

• 아이디, 비밀번호 저장
• 쇼핑몰 장바구니

쿠키 값은 F12를 눌러 개발자도구에서 확인하거나 관련 플러그인을 설치하면 확인/수정할 수 있다. 위변조의 위험이 항상 있기 때문에 쿠키값도 암호화해야 안전하게 사용 가능하다.

 

세션(Session)

개념

• 일정 시간 동안 같은 브라우저로부터 들어오는 요청을 하나의 상태로 보고 그 상태를 유지하는 기술이다.
• 즉, 웹 브라우저를 통해 서버에 접속한 이후부터 브라우저를 종료할 때까지 유지되는 상태이다.
• 브라우저가 종료되기 전까지 클라이언트의 요청을 유지하게 해주는 기술

동작방식

세션 동작의 예

1. 클라이어늩가 서버에 로그인 요청을 한다.
2. 서버는 클라이언트의 로그인 요청의 유효성을 확인하고 unique한 id를 sessionid라는 이름으로 저장한다.
3. 서버가 응답할 때 응답헤더에 'set-cookie: sessionid=a1x2fjz'를 추가하여 응답한다.
4. 클라이언트는 이후 서버에 요청할 때 웹 브라우저를 닫기까지 전달받은 쿠키를 요청헤더에 'cookie: sessionid=a1x2fjz'를 넣어 전송한다.
5. 서버에서 요청헤더의 'sessionid' 값을 저장된 세션저장소에서 찾아보고 유효한지 확인 후 요청을 처리하고 응답한다.

세션 사용 예

• 로그인

세션도 쿠키를 사용하여 값을 주고 받으며 클라이언트의 상태 정보를 유지한다. 즉, 상태 정보를 유지하는 수단은 쿠키이다.

 

쿠키와 세션의 차이점

구분	이름	내용
저장 위치	쿠키	클라이언트
	세션	서버
보안	쿠키	클라이언트에 저장되므로 보안에 취약
	세션	쿠키를 이용해 Session ID만 저장하고 이 값으로 구분해서 서버에 처리하므로 비교적 보안성이 좋다.
라이프 사이클	쿠키	만료시간에 따라 브라우저를 종료해도 계속 남아있을 수 있다.
	세션	만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제된다.
속도	쿠키	클라이언트에 저장되어서 서버에 요청시 빠르다.
	세션	실제 저장된 정보가 서버에 있으므로 서버의 처리가 필요해 쿠키보다 느리다.

 

참고

• doooyeon.github.io/2018/09/10/cookie-and-session.html
• chrisjune-13837.medium.com/web-%EC%BF%A0%ED%82%A4-%EC%84%B8%EC%85%98%EC%9D%B4%EB%9E%80-aa6bcb327582