쿠키와 세션을 사용하는 이유
- HTTP 프로토콜의 특징이자 약점을 보완하기 위해서 사용한다.
HTTP 프로토콜의 특징
비연결지향(Connectionless)
-
HTTP는 TCP의 3 Way-Handshake와 4 Way-Handshake를 통해 세션을 열고
1번의 세션안에서 클라이언트는 서버로 Request를 보내고, 서버로부터 Response를 받으면 세션이 끊어진다. -
이 단점을 극복하기 위해 HTTP1.1에서는 Keep-Alive 기능을 제공하여
한 번의 세션에서 여러번 Request-Response가 가능해졌다.
무상태성(Stateless)
- 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않는 특성이 있다.
-
비연결지향이란느 특징 때문에 서버 입장에서는 통신 연결을 유지하지 않기 때문에
리소스 낭비가 줄어드는 것은 큰 장점이지만
통신 시 마다 새로운 세션을 열어야하는 작업은
클라이언트가 서버에게 요청을 할 때마다 인증을 해야하는 단점이 생겼다. -
HTTP는 이 2가지 특성을 보완하기 위해서 쿠키와 세션을 사용하게 되었다.
-
만약 쿠키와 세션이 없다면 어떤 페이지에서 옮겨다닐 때마다 로그인을 다시해야 한다.
쿠키(Cookie)
-
쿠키는 클라이언트 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일이다.
-
쿠키에는 이름, 값, 만료날짜(쿠키 저장기간), 경로 정보가 들어있다.
-
쿠키는 일정시간동안 데이터를 저장할 수 있다. (로그인 상태 유지에 활용)
-
쿠키는 클라이언트의 상태 정보를 로컬에 저장했다가 참조한다.
쿠키 프로세스
-
브라우저에서 웹 페이지 접속
-
클라이언트가 요청한 웹 페이지를 받으면서 쿠키를 클라이언트 로컬에 저장
-
클라이언트가 재 요청시 웹 페이지 요청과 함께 쿠키값도 전송
-
지속적으로 로그인 정보를 가지고 있는 것처럼 사용
쿠키 사용 사례
-
자동로그인
-
팝업에서 “오늘 더 이상 이 창을 보지 않음” 체크
-
쇼핑몰의 장바구니
쿠키의 제한
-
클라이언트에 300개의 쿠키를 저장 가능하다.
-
하나의 도메인당 20개의 값과 각각 4KB까지 저장 가능하다.
-
Response Header에 Set-Cookie 속성을 사용하면 클라이언트에 쿠키를 만들 수 있다.
-
쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송한다.
세션(Session)
-
일정 시간동안 같은 브라우저로 부터 들어오는 요구를 하나의 상태로 보고 그 상태를 유지하는 기술이다.
-
즉 웹 브라우저를 통해 웹 서버에 접속한 이후로 브라우저를 종료할 때 까지 유지되는 상태이다.
-
클라이언트가 Request를 보내면 해당 서버의 엔진이 클라이언트에게 유일한 ID를 부여하는 데 이것이 세션ID이다.
세션 프로세스
-
클라이언트가 서버에 접속시 세션 ID를 발급
-
서버에서는 클라이언트로 발급해준 세션 ID를 쿠키를 사용해 저장 (JSESSIONID)
-
클라이언트는 다시 접속할 때, 이 쿠키(JSESSIONID)를 이용해서 세션ID값을 서버에 전달
-
세션을 구별하기 위해 ID가 필요하고 그 ID만 쿠키를 이용해서 저장해놓는다. (= 쿠키 사용)
-
쿠키는 자동으로 서버에 전송되니까 서버에서 세션ID에 따른 처리를 할 수 있다.
-
예를들어 게시판에 글을 작성할 때
작성 버튼을 누르면 세션에 있는 아이디를 참조해서 작성자를 지정하게 한다.
세션 사용 사례
- 로그인 정보 유지
쿠키와 세션의 차이
- 저장 위치
- 쿠키는 클라이언트에 파일로 저장
- 세션은 서버에 저장
- 보안
- 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 Request에서 스나이핑 당할 우려가 있어 보안에 취약
- 세션은 쿠키를 이용해서 세션ID만 저장하고 그것으로 구분해서 서버에서 처리하기 때문에 비교적 안전하다.
- 라이프 사이클
- 쿠키도 만료시간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다.
- 또한 만료 기간을 넉넉하게 잡아두면 쿠키 삭제를 할 때 까지 유지 될 수도 있다.
- 반면에 세션도 만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제된다.
- 속도
- 쿠키에 정보가 있기 때문에 서버에 요청시 속도가 빠르고
- 세션은 정보가 서버에 있기 때문에 서버에게 추가적인 작업이 요구되므로 상대적으로 느리다.
세션을 주로 사용하면 좋은데 왜 쿠키를 사용할까?
- 세션은 서버의 자원을 사용하기 때문에 무분별하게 만들다보면
서버의 메모리가 감당할 수 없어지고 속도가 느려질 수 있다.
쿠키,세션 vs 캐시
-
쿠키와세션은 캐시와 엄연히 다르다.
-
캐시는 이미지나 css,js등 사용자의 브라우저에 저장이 되는 것이다.
-
한번 캐시에 저장되면 브라우저는 저장된 캐시를 참고하기 때문에 서버에서 값이 변경되어도 사용자는 최신 데이터를 보지 못할 수 있다.
-
그렇기 때문에 기존의 캐시를 지워주거나 서버에서 클라이언트로 응답을 보낼 때
header에 캐시 만료시간을 명시하는 방법등을 이용하여 최신의 데이터를 사용자에게 보여준다.