쿠키와 세션을 이해하기 위해 HTTP의 특징을 이해하면 도움이 된다.
HTTP
- 비연결성, 비상태성
- → 서버의 자원을 절약하기 위해 모든 사용자의 요청마다 연결과 해제의 과정을 거치기 때문에 연결 상태가 유지되지 않고, 연결 해제 후에 상태 정보가 저장되지 않음
→ 이로인해 매번 새로운 사용자를 인식해야 하는 단점이 있음
근데??
우리가 사용하고 있는 사이트는 기억하고 있음
→ 쿠키와 세션덕분..
HTTP의 비연결성과 비상태성을 보완하여 서버가 클라이언트를 식별해주는 것이 쿠키와 세션
쿠키
- 웹 사이트에 접속할 때 생성되는 정보를 담은 임시 파일
- String 타입의 Key와 value로 구성되어 있음
- 쿠키는 서버를 대신해 정보를 로컬(웹 브라우저)에 저장하고 서버가 사용자를 식별할 수 있도록 함
브라우저마다 저장되는 쿠키가 다름 → 서버는 브라우저가 다르면 다른 사용자로 인식함
쿠키 사용 예시
- ID 저장, 로그인 상태 유지
- 일주일간 보지 않기
- 최근 검색한 상품 광고
- 장바구니
쿠키의 사용 목적
- 세션 관리(Session Management) 로그인, 사용자 닉네임, 접속 시간, 장바구니 등 서버가 알아야할 정보 저장
- 개인화 각 사용자에게 적절한 페이지를 보여줄 수 있도록 함
- 트래킹 사용자의 행동, 패턴을 분석 및 기록
쿠키의 단점
- 웹 사이트에 개인정보가 기록되기 때문에 사생활 침해 소지있음 → 웹 브라우저에 쿠키 거부 기능 있음
- 쿠키 거부 설정시, 쿠키 본래 목적인 웹 브라우저와의 연결 지속시키는 기능을 수행할 수 없음
- 서버가 아닌 사용자에게 저장되기 때문에 보안에 취약 → 임의로 고치거나 가로채기가 쉬움 → 민감한 정보를 담는 것은 위험함
⇒ 이러한 단점을 보완해주는 것이 세션
세션(Session)
- 일정 시간 동안 같은 사용자로부터 들어오는 일련의 요청들을 하나의 상태로 보고, 그 상태를 일정하게 유지시키는 기술
- 웹 서버가 세션 아이디 파일을 만들어 운영되는 서버에 저장함
- 기존에 쿠키에 저장된 사용자 정보를 서버 메모리에 저장하고, 그때 생성되는 id를 쿠키에 담아서 전달함
- 서버는 id 유효성을 판별해 클라이언트를 식별함
- 세션 정보는 사용자가 브라우저를 종료하면 삭제됨
동작 방식
- 클라이언트가 로그인 요청. ID, pw 유효하면(DB에 저장된 값이라면), 세션을 생성하고 서버 메모리에 저장함. 세션 식별키인 SessionId를 기반으로 저장 및 조회함
- 서버에서 SessioinId를 쿠키에 담아 클라이언트에 전달
- 클라이언트가 request할때 SessionId로 서버에 저장된 세션을 조회함. 유효하다면 response
세션의 장점
- 서버에서 사용자 상태를 유지하고 있어, 사용자 로그인 여부 확인이 용이함
- 사용자가 임의로 정보를 변경해도 서버에서 사용자 상태 정보를 가지고 있으므로 상대적으로 안전함
세션의 단점
- 서버 메모리를 사용하므로 요청이 많으면 부하가 심해짐.
- Stateful 서버이기 때문에 로드 밸런싱을 사용한 서버 확장이 어려움
- CORS 방식 사용이 어려움 웹 브라우저에서 세션 관리에 사용하는 쿠키는 단일 도메인 및 서브 도메인에서만 작동하도록 설계 되어 있음. 따라서 CORS 방식(여러 도메인에서 Request를 보내는 브라우저)을 사용할 때 쿠키 및 세션 관리가 어려움.
쿠키 vs 세션
| Cookie | Session | |
| 저장 위치 | 클라이언트 | 서버 |
| 저장 형식 | Text | Object |
| 리소스 | 클라이언트의 리소스 | 서버의 리소스 |
| 용량 제한 | 도메인당 20개, 1쿠키 강 4KB | 제한 없음 |
| 만료 시점 | 쿠키 저장시 설정 | 알 수 없음 |
요약
쿠키
1. 사용자의 편의를 위한 것
2. 지워져도 되고, 가로채이더라도 큰 일이 없는 수준의 정보들만 브라우저에 저장
세션
1. 서버안에서 다뤄짐
2. 사용자나 다른 누군가에게 노출되면 안되는 정보들은 세션으로 서비스 제공자가 직접 관리(많으면 서버에 부담)
참고 자료
https://joie-kim.github.io/Session-Auth/
https://devuna.tistory.com/23