❓쿠키와 세션이 필요한 이유
HTTP는 클라이언트가 서버에 요청을 보내면 서버는 클라이언트에게 요청에 맞는 응답을 보낸 뒤 접속을 끊고 클라이언트와 서버의 통신이 끝나므로 상태 정보를 유지하지 않는 특성이 있다.
이러한 비연결지향이라는 특성 때문에 계속해서 통신 연결을 유지하지 않아 리소스 낭비가 줄어드는 것은 큰 장점이지만 통신을 할 때마다 새로 커넥션을 열기 때문에 클라이언트는 내가 누구인지 인증을 계속해야 하는 단점이 생긴다.
HTTP의 이러한 특성을 보완하기 위해서 쿠키와 세션을 사용하게 된다.
🍪쿠키
쿠키는 클라이언트 로컬에 저장되는 키와 값이 들어있는 데이터 파일이다.
쿠키에는 이름, 값, 만료날짜(쿠키 저장기간), 도메인, 경로 정보가 들어있다.
쿠키 사용 예
특정 웹사이트나 웹페이지에 얼마나 자주 또는 몇 번 방문했는지 또는
팝업에서 “오늘 더이상 이 창을 보지 않음” 체크 상태 등
서버가 어떤 주기 동안 클라이언트의 상태를 알아줬으면 하는 데이터를 저장한다.
쿠키의 특징
-
클라이언트에 300개까지 쿠키저장 가능하다.
-
하나의 도메인당 20개의 값만 가질 수 있으며 하나의 쿠키값은 4KB까지
저장 된다. -
쿠키값이 20개를 초과하면 가장 적게 사용된 쿠키부터 지워진다.
-
쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송한다.
-
쿠키는 브라우저에 저장되는 값이기 때문에 보안에 취약하다.
🧺세션
일정 시간 동안 같은 브라우저로부터 들어오는 일련의 요구를 하나의 상태로 보고 그 상태를 서버에 유지하는 기술
일정 시간은 사용자가 브라우저를 통해 서버에 접속한 시점으로부터 브라우저를 종료하여 연결을 끝내는 시점을 말한다.
세션 프로세스
-
클라이언트가 서버에 접속시 세션 ID를 발급
-
서버에서는 클라이언트로 발급해준 세션 ID를 쿠키를 사용해 저장 (JSESSIONID)
-
클라이언트는 다시 접속할 때, 이 쿠키(JSESSIONID)를 이용해서 세션ID값을 서버에 전달
JSESSIONID란?
- 톰캣 컨테이너에서 세션을 유지하기 위해 발급하는 키
- HTTP 프로토콜은 stateless 하므로 상태를 저장하기 위해서 톰캣은 JSESSIONID 쿠키를 클라이언트에게 발급해주고 이 값을 통해 세션을 유지할 수 있도록 한다.
쿠키는 자동으로 서버에 전송 되므로 서버에서 세션 ID에 따른 처리를 할 수 있다.
세션은 서버의 자원을 사용하기 때문에 서버에 부하를 준다.
세션 사용 예
로그인과 같이 보안상 중요한 작업을 수행할 때 사용 하거나
게시판에 글을 작성할 때 작성 버튼을 누르면 세션 ID를 참조해서 작성자를 지정하게 한다.
🔍쿠키와 세션 비교
🔒보안
쿠키는 클라이언트 로컬에 저장되기 때문에 정보가 변경되거나 request에서 스나이핑 당할 우려가 있어서 보안에 취약하다.
세션은 쿠키를 이용해서 세션 ID 만 저장하고 그것으로 구분해서 서버에서 처리하기 때문에 비교적 보안성이 높다.
♻라이프 사이클
쿠키도 만료 시간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다. 또한 만료 기간을 넉넉하게 잡아두면 쿠키 삭제를 할 때까지 유지될 수도 있다.
⏩속도
쿠키에 정보가 있으므로 서버에 요청 시 속도가 빠르고 세션은 정보가 서버에 있기 때문에 처리가 요구되어 비교적 느린 속도를 낸다.
