[Web] 쿠키(Cookie) & 세션(Session)

💡 Web의 기본적인 인증 방식을 알아보자!

노션에서 보기

📌 요약

공통점 : 웹 통신 간 유지하려는 정보(Ex) 로그인 정보 등)를 저장하기 위해 사용
차이점 : 저장 위치, 저장 형식, 용량 제한, 만료시점 등
- 쿠키 : 개인 PC에 저장
- 세션 : 접속중인 웹 서버에 저장

쿠키와 세션 사용 이유 (Feat. HTTP 특징)

HTTP(Hypertext Transfer Protocol) 의 특징이자 약점을 보안하기 위함

HTTP(Hypertext Transfer Protocol) 의 정의

HTTP는 인터넷상에서 데이터를 주고받기 위해 서버/클라이언트 모델을 따르는 통신 규약

HTTP의 특징

비연결성(Connectionless)
- 클라이언트가 서버에 요청(Request)을 보내고 → 그 요청에 맞는 응답(Response) 을 보낸 후 연결을 끊는 처리 방식
- HTTP 1.1 버전 : 연결을 유지하고, 재활용 하는 기능이 Default 로 추가 (keep-alive 값으로 변경 가능)
비상태성(Stateless)
- 클라이언트가 상태 정보를 가지지 않는 서버 처리 방식
- 클라이언트와 첫 번째 통신에서 데이터를 주고 받았다 해도, 두번째 통신에서 이전 데이터를 유지하지 않는다.
즉, HTTP는 ‘서버의 자원을 절약’하기 위해 모든 사용자의 요청마다 ‘연결과 해제’ 과정을 거친다.
따라서, 연결 상태가 유지되지 않고, 연결 해제 후에 상태 정보가 저장되지 않는다.

쿠키와 세션의 필요성

HTTP의 비연결성/비상태성으로 인해 사용자를 식별할 수 없어 → 같은 사용자가 요청을 여러 번 하더라도 매번 새로운 사용자로 인식하게된다.
그러나 우리가 웹 사이트를 사용할 때 로그인을 한 번 하고나면 → 그 사이트에서는 다시 로그인할 필요 없이, 여러 페이지의 기능을 이용할 수 있고, 브라우저를 종료했다가 다시 접속했을 때에도 로그인 상태를 유지할 수 있다.
이렇게, HTTP의 비연결성/비상태성을 보완해 ‘서버가 클라이언트를 식별’하게 해주는 것이 쿠키와 세션이다.

쿠키(Cookie)

쿠키의 개념

쿠키는 웹 사이트 접속 시 생성되는 정보를 담은 데이터 파일로 클라이언트(브라우저) 로컬에 저장된다.
쿠키의 데이터 형태는 Key-Value 로 구성되고, String 형태로 이루어져 있다.
브라우저마다 저장되는 쿠키가 다르며, 서버에서는 브라우저가 다르면 다른 사용자로 인식
쿠키는 서버를 대신해서 클라이언트의 상태 정보를 로컬(웹 브라우저를 이용하고 있는 컴퓨터)에 저장했다가 → 사용자가 요청할 때, 그 정보를 함께 보내 → 서버가 사용자를 식별할 수 있게 한다.

쿠키의 구성요소

이름 : 각각의 쿠키를 구별하는 데 사용되는 이름
값 : 쿠키의 이름과 관련된 값
유효시간 : 쿠키의 유지시간
도메인 : 쿠키를 전송할 도메인
경로 : 쿠키를 전송할 요청 경로

쿠키의 특징

클라이언트에 총 300개의 쿠키 저장 가능
하나의 도메인 당 20개의 쿠키를 가질 수 있다.
하나의 쿠키는 4KB(=4096byte)까지 저장 가능

쿠키의 동작 순서

클라이언트가 페이지를 요청(사용자의 웹사이트 접근)
웹 서버에서 쿠키 생성
HTTP 헤더에 쿠키를 포함시켜 클라이언트에 응답

MockHttpServletResponse:
           Status = 200
          Headers = [Set-Cookie:"userName=kevin", "password=abc123"]

브라우저가 종료되어도, 쿠키 만료 시간이 남은 경우 클라이언트에서 보관하고 있음
같은 요청을 할 경우 클라이언트가 HTTP 헤더에 쿠키를 함께 서버로 보냄

MockHttpServletRequest:
      HTTP Method = GET
      Request URI = /user/my/edit
          Headers = [Cookie:"userName=kevin"; "password=abc123"]

서버에서 쿠키를 읽어 → 이전 상태 정보를 변경할 필요가 있을 때 쿠키를 업데이터하여 → 변경된 쿠키를 HTTP 헤더에 포함시켜 응답

쿠키의 사용 목적

세션 관리(Session Management) : 로그인, 사용자 닉네임, 접속 시간, 장바구니 등의 서버가 알아야할 정보들을 저장
개인화(Personalization) : 사용자마다 다르게 그 사람에 적절한 페이지를 보여줄 수 있음
트래킹(Tracking) : 사용자의 행동과 패턴을 분석하고 기록

쿠키 사용 예시

사이트를 방문하여 로그인 할 때 “아이디와 비밀번호를 저장하시겠습니까?” / “로그인 상태 유지”
팝업의 일주일간 다시 보지 않기 체크
최근 검색한 상품들을 광고에서 추천
쇼핑몰 장바구니

쿠키의 단점

방문했던 웹 사이트에 대한 정보 및 개인 정보가 기록되어 사생활 침해 소지 존재
- 이를 해소하기 위해, 웹 브라우저 자체에 쿠키 거부 기능이 있지만
- 쿠키에 대한 거브가 웹 브라우저에 설정되어 있는경우 쿠키 본래의 목적인 웹 브라우저와의 연결을 지속시키는 기능을 수행할 수 없는 경우가 발생한다.
서버가 가지고 있는 것이 아닌 사용자에게 저장되는 정보이므로, 임의로 고치거나 지울 수 있고, 가로채기 쉬워 보안 취약 문제 존재
- 쿠키에는 민감하거나 중요한 정보를 담는 것이 위험하다.
이러한 쿠키의 단점을 보완해주는 것이 ‘세션’이다.

세션(Session)

세션의 개념

세션은 쿠키를 기반으로 하고 있지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리, 세션은 서버 측에서 관리한다.
서버에서는 클라이언트를 구분하기 위해 세션 ID를 부여하며,
- 이때 접속 시간에 제한을 두어 일정 시간 응답이 없으면 정보가 유지되지 않게 설정이 가능하다.
- 세션 ID는 웹 브라우저 당 1개씩 생성되어 웹 컨테이너에 저장되고 → 브라우저 종료 시 소멸된다.
- 즉, 방문자가 웹 서버에 접속해있는 상태를 하나의 단위로 보고, 그것을 세션이라 한다.
웹 브라우저가 서버에 접속해서 → 브라우저를 종료할 때까지 인증 상태를 유지한다.
로그인한 사용자에 대해서만 세션을 생성하는 것이 아닌,
- 쿠키의 경우, 사용자의 웹 브라우저에 저장되는 것이므로 로그인 유무와 관계없이 삭제되지 않으면 듀지된다.
로그아웃을 하는 경우 새로운 사용자로 인식하여 새로운 세션이 생성된다.

세션의 특징

웹 서버에 웹 컨테이너의 상태를 유지하기 위한 정보를 저장한다.
웹 서버에 저장되는 쿠키(=세션쿠키)
각 클라이언트에 고유 ID를 부여
세션 ID로 클라이언트를 구분해 클라이언트의 요구에 맞는 서비스를 제공
보안 면에서 쿠키보다 우수(브라우저를 닫거나, 서버에서 세션 삭제 시에만 삭제됨)
저장 용량에 제한은 없지만, 사용자가 많아질수록 서버 메모리를 많이 차지하게 된다.

세션의 동작 순서

클라이언트가 페이지 접속 시(서버에 접속 시)
접근한 클라이언트의 Request Header 필드인 Cookie를 확인하여 클라이언트가 해당 세션 ID를 보냈는지 확인한다.
세션 ID가 존재하지 않을 경우, 세션 ID를 발급하여 클라이언트에게 돌려준다.
- 서버는 클라이언트의 로그인 요청에 대한 응답을 작성할 때, 아래와 같이 인증 정보는 → 서버에 저장하고, 클라이언트 식별자인 JSESSIONID를 쿠키에 담는다.

HTTP/1.1 200
Set-Cookie: JSESSIONID=FDB5E30BF20045E8A9AAFC788383680C;

클라이언트는 세션 ID에 대해 쿠키를 사용해서 저장하고, 정보를 가지고 있는다.
클라이언트는 서버에 요청 시, 이 쿠키의 세션 ID를 같이 서버에 전달하여 요청한다.
서버는 세션 ID를 전달받아 별다른 작업없이, 세션 ID로 세션에 있는 클라이언트 정보를 가져와서 사용
클라이언트 정보를 가지고 서버 요청을 처리해 클라이언트에게 응답

세션의 사용 예시

화면을 이동해도 로그인 상태가 유지된다.

쿠키와 세션 차이

	쿠키(Cookie)	세션(Session)
저장 위치	클라이언트	서버
저장 형식	Text	Object
만료 시점	쿠키 저장 시 설정(설정이 없을 경우, 브라우저 종료 시 만료)	알 수 없음
사용하는 자원(리소스)	클라이언트의 리소스	서버의 리소스
용량 제한	총 300개 도메인 당 20개 1개의 쿠키당 4KB	제한 없음
속도	세션보다 빠름	쿠키보다 느림
보안	세션보다 보안 취약	쿠키보다 보안 유리

쿠키과 세션은 비슷한 역할을 수행하고, 동작원리도 비슷하다. (세션도 결국 쿠키를 사용하기 때문)
가장 큰 차이점: 사용자의 정보가 저장되는 위치
- 쿠키는 서버의 자원을 전혀 사용하지 않음
- 세션은 서버의 자원을 사용
보안 : 세션 > 쿠키
- 쿠키는 클라이언트 로컬에 저장되어, 변잘되거나 Request에서 Snipping 당할 우려 존재
- 세션은 쿠키를 이용해 세션 ID만 저장하고, 그것으로 구분해서 서버에서 처리하므로 비교적 보안성이 높음
요청 속도 : 세션 < 쿠키
- 세션은 서버의 처리를 필요로 하므로 속도가 상대적으로 느림
라이프 사이클
- 쿠키도 만료시간이 존재하지만, 파일로 저장되어 브라우저를 종료해도 계속해서 정보가 남을 수 있음
  - 만료기간을 여유롭게 잡아두면 쿠키를 삭제할 때까지 유지 가능
- 세션도 만료시간을 정할 수 있지만, 브라우저가 종료되면 만료시간에 상관없이 삭제됨
  - 예를 들어, 크롬에서 다른 탭을 사용해도 세션 공유, 다른 브라우저를 사용할 경우 다른 세션 사용
세션은, 서버의 자원을 사용하므로 무분별하게 만들 경우 메모리를 감당할 수 없게 되고, 속도가 느려질 수 있어 쿠키가 유리한 경우가 존재한다.

쿠키와 세션 Vs 캐시

캐시는 이미지나 css, js 파일 등을 브라우저나 서버 앞 단에 저장해놓고 사용하는 것
한 번 캐시에 저장되면, 브라우저를 참고하므로
- 이때 캐시를 지워주거나
- 서버에서 클라이언트로 응답을 보낼 때 헤더에 캐시 만료 시간을 명시하는 방법
을 사용할 수 있다.
서버에서 변경이 되어도 사용자는 변경이 되지 않는 것으로 보일 수 있는데,

세션은 사용자 수 만큼 서버 메모리를 차지하여, 이런 문제를 보완하기 위해 토큰 기반의 인증 방식을 사용한다.

그 중 JWT(JSON WEB Token)이 존재하는 것

'Web > Concept' 카테고리의 다른 글

[Web] JWT(JSON Web Token) (0)	2022.05.22
[Web] 서버 기반 인증 시스템과 토큰 기반 인증 시스템 (0)	2022.05.22
[Web] Authentication & Autorization (0)	2022.05.22
[Web] JWT(JSON Web Token) (0)	2022.01.13

sim_migyeong

[Web] 쿠키(Cookie) & 세션(Session)

📌 요약

쿠키와 세션 사용 이유 (Feat. HTTP 특징)

HTTP(Hypertext Transfer Protocol) 의 정의

HTTP의 특징

쿠키와 세션의 필요성

쿠키(Cookie)

쿠키의 개념

쿠키의 구성요소

쿠키의 특징

쿠키의 동작 순서

쿠키의 사용 목적

쿠키 사용 예시

쿠키의 단점

세션(Session)

세션의 개념

세션의 특징

세션의 동작 순서

세션의 사용 예시

쿠키와 세션 차이

쿠키와 세션 Vs 캐시

'Web > Concept' 카테고리의 다른 글

티스토리툴바

[Web] 쿠키(Cookie) & 세션(Session)

📌 요약

쿠키와 세션 사용 이유 (Feat. HTTP 특징)

HTTP(Hypertext Transfer Protocol) 의 정의

HTTP의 특징

쿠키와 세션의 필요성

쿠키(Cookie)

쿠키의 개념

쿠키의 구성요소

쿠키의 특징

쿠키의 동작 순서

쿠키의 사용 목적

쿠키 사용 예시

쿠키의 단점

세션(Session)

세션의 개념

세션의 특징

세션의 동작 순서

세션의 사용 예시

쿠키와 세션 차이

쿠키와 세션 Vs 캐시

'Web > Concept' 카테고리의 다른 글

'Web/Concept' Related Articles

티스토리툴바