쿠키와 세션

• 쿠키와 세션을 사용하는 이유
• HTTP 프로토콜의 특징
  • 비연결지향(Connectionless)
  • 무상태성(Stateless)
• 쿠키(Cookie)
  • 쿠키 프로세스
  • 쿠키 사용 사례
  • 쿠키의 제한
• 세션(Session)
  • 세션 프로세스
  • 세션 사용 사례
• 쿠키와 세션의 차이
• Reference

쿠키와 세션을 사용하는 이유

• HTTP 프로토콜의 특징이자 약점을 보완하기 위해서 사용한다.

HTTP 프로토콜의 특징

비연결지향(Connectionless)

• HTTP는 TCP의 3 Way-Handshake와 4 Way-Handshake를 통해 세션을 열고
  1번의 세션안에서 클라이언트는 서버로 Request를 보내고, 서버로부터 Response를 받으면 세션이 끊어진다.

• 이 단점을 극복하기 위해 HTTP1.1에서는 Keep-Alive 기능을 제공하여
  한 번의 세션에서 여러번 Request-Response가 가능해졌다.

무상태성(Stateless)

• 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않는 특성이 있다.

• 비연결지향이란느 특징 때문에 서버 입장에서는 통신 연결을 유지하지 않기 때문에
  리소스 낭비가 줄어드는 것은 큰 장점이지만
  통신 시 마다 새로운 세션을 열어야하는 작업은
  클라이언트가 서버에게 요청을 할 때마다 인증을 해야하는 단점이 생겼다.

• HTTP는 이 2가지 특성을 보완하기 위해서 쿠키와 세션을 사용하게 되었다.

• 만약 쿠키와 세션이 없다면 어떤 페이지에서 옮겨다닐 때마다 로그인을 다시해야 한다.

쿠키(Cookie)

• 쿠키는 클라이언트 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일이다.

• 쿠키에는 이름, 값, 만료날짜(쿠키 저장기간), 경로 정보가 들어있다.

• 쿠키는 일정시간동안 데이터를 저장할 수 있다. (로그인 상태 유지에 활용)

• 쿠키는 클라이언트의 상태 정보를 로컬에 저장했다가 참조한다.

쿠키 프로세스

1. 브라우저에서 웹 페이지 접속

2. 클라이언트가 요청한 웹 페이지를 받으면서 쿠키를 클라이언트 로컬에 저장

3. 클라이언트가 재 요청시 웹 페이지 요청과 함께 쿠키값도 전송

4. 지속적으로 로그인 정보를 가지고 있는 것처럼 사용

쿠키 사용 사례

• 자동로그인

• 팝업에서 “오늘 더 이상 이 창을 보지 않음” 체크

• 쇼핑몰의 장바구니

쿠키의 제한

• 클라이언트에 300개의 쿠키를 저장 가능하다.

• 하나의 도메인당 20개의 값과 각각 4KB까지 저장 가능하다.

• Response Header에 Set-Cookie 속성을 사용하면 클라이언트에 쿠키를 만들 수 있다.

• 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송한다.

세션(Session)

• 일정 시간동안 같은 브라우저로 부터 들어오는 요구를 하나의 상태로 보고 그 상태를 유지하는 기술이다.

• 즉 웹 브라우저를 통해 웹 서버에 접속한 이후로 브라우저를 종료할 때 까지 유지되는 상태이다.

• 클라이언트가 Request를 보내면 해당 서버의 엔진이 클라이언트에게 유일한 ID를 부여하는 데 이것이 세션ID이다.

세션 프로세스

1. 클라이언트가 서버에 접속시 세션 ID를 발급

2. 서버에서는 클라이언트로 발급해준 세션 ID를 쿠키를 사용해 저장 (JSESSIONID)

3. 클라이언트는 다시 접속할 때, 이 쿠키(JSESSIONID)를 이용해서 세션ID값을 서버에 전달

• 세션을 구별하기 위해 ID가 필요하고 그 ID만 쿠키를 이용해서 저장해놓는다. (= 쿠키 사용)

• 쿠키는 자동으로 서버에 전송되니까 서버에서 세션ID에 따른 처리를 할 수 있다.

• 예를들어 게시판에 글을 작성할 때
  작성 버튼을 누르면 세션에 있는 아이디를 참조해서 작성자를 지정하게 한다.

세션 사용 사례

• 로그인 정보 유지

쿠키와 세션의 차이

• 저장 위치
  • 쿠키는 클라이언트에 파일로 저장
  • 세션은 서버에 저장

• 보안
  • 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 Request에서 스나이핑 당할 우려가 있어 보안에 취약
  • 세션은 쿠키를 이용해서 세션ID만 저장하고 그것으로 구분해서 서버에서 처리하기 때문에 비교적 안전하다.

• 라이프 사이클
  • 쿠키도 만료시간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다.
  • 또한 만료 기간을 넉넉하게 잡아두면 쿠키 삭제를 할 때 까지 유지 될 수도 있다.
  • 반면에 세션도 만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제된다.

• 속도
  • 쿠키에 정보가 있기 때문에 서버에 요청시 속도가 빠르고
  • 세션은 정보가 서버에 있기 때문에 서버에게 추가적인 작업이 요구되므로 상대적으로 느리다.

세션을 주로 사용하면 좋은데 왜 쿠키를 사용할까?

• 세션은 서버의 자원을 사용하기 때문에 무분별하게 만들다보면
  서버의 메모리가 감당할 수 없어지고 속도가 느려질 수 있다.

쿠키,세션 vs 캐시

• 쿠키와세션은 캐시와 엄연히 다르다.

• 캐시는 이미지나 css,js등 사용자의 브라우저에 저장이 되는 것이다.

• 한번 캐시에 저장되면 브라우저는 저장된 캐시를 참고하기 때문에 서버에서 값이 변경되어도 사용자는 최신 데이터를 보지 못할 수 있다.

• 그렇기 때문에 기존의 캐시를 지워주거나 서버에서 클라이언트로 응답을 보낼 때
  header에 캐시 만료시간을 명시하는 방법등을 이용하여 최신의 데이터를 사용자에게 보여준다.

Reference

• Web - 쿠키와 세션의 차이, 용도, 사용법(cookie,session)