[Web] 쿠키와 세션

📌CS/Web

dar0m! 2021. 4. 4. 00:28

비연결 지향(Connectionless)

클라이언트에서 서버에 요청을 보내면 서버는 클라이언트에 응답을 하고 접속을 끊는 특성이 있다.(HTTP1.1에서 Connection헤더에 keep-alive설정하면 커넥션을 유지할 수 있다.)
상태정보 유지 안 함(Stateless)

HTTP 통신은 요청을 응답하고 접속을 끊기 때문에 클라이언트 상태 정보를 알 수 없다.

쿠키와 세션의 탄생 → HTTP 프로토콜에서 상태를 유지하기 위함

위와 같은 HTTP 프로토콜의 특징으로 모든 요청간의 의존관계가 없기 때문에 사용자를 인증할 수 없다. 이전 요청과 현재 요청이 같은 사용자의 요청인지 알기 위해서는 상태를 유지해야 한다. HTTP 프로토콜에서 상태를 유지하기 위한 기술로 쿠키와 세션이 있다.

쿠키(Cookie)

클라이언트가 서버에 로그인 요청을 한다.
서버는 상태를 유지하고 싶은 값을 쿠키(cookie)로 생성
서버는 클라이언트의 로그인 요청의 유효성을 확인하고 응답헤더에 'set-cookie: user=chrisjune'을 추가하여 응답한다.
전달받은 쿠키는 웹 브라우저에서 관리하고 있다가 다음 요청 때 쿠키를 HTTP 헤더에 넣어서 전송. 'cookie: user=chrisjune'
서버에서는 쿠키 정보를 읽어 이전 상태 정보를 확인한 후 응답

쿠키 값은 F12를 눌러 개발자도구에서 확인하거나 관련 플러그인을 설치하면 확인/수정할 수 있다. 위변조의 위험이 항상 있기 때문에 쿠키값도 암호화해야 안전하게 사용 가능하다.

클라이어늩가 서버에 로그인 요청을 한다.
서버는 클라이언트의 로그인 요청의 유효성을 확인하고 unique한 id를 sessionid라는 이름으로 저장한다.
서버가 응답할 때 응답헤더에 'set-cookie: sessionid=a1x2fjz'를 추가하여 응답한다.
클라이언트는 이후 서버에 요청할 때 웹 브라우저를 닫기까지 전달받은 쿠키를 요청헤더에 'cookie: sessionid=a1x2fjz'를 넣어 전송한다.
서버에서 요청헤더의 'sessionid' 값을 저장된 세션저장소에서 찾아보고 유효한지 확인 후 요청을 처리하고 응답한다.

세션도 쿠키를 사용하여 값을 주고 받으며 클라이언트의 상태 정보를 유지한다. 즉, 상태 정보를 유지하는 수단은 쿠키이다.

구분	이름	내용
저장 위치	쿠키	클라이언트
저장 위치	세션	서버
보안	쿠키	클라이언트에 저장되므로 보안에 취약
보안	세션	쿠키를 이용해 Session ID만 저장하고 이 값으로 구분해서 서버에 처리하므로 비교적 보안성이 좋다.
라이프 사이클	쿠키	만료시간에 따라 브라우저를 종료해도 계속 남아있을 수 있다.
라이프 사이클	세션	만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제된다.
속도	쿠키	클라이언트에 저장되어서 서버에 요청시 빠르다.
속도	세션	실제 저장된 정보가 서버에 있으므로 서버의 처리가 필요해 쿠키보다 느리다.