❗ 쿠키란?
- 클라이언트 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일이다.
- 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지된다는 특징이 있다.
- 클라이언트의 상태 정보를 로컬에 저장했다가 참조한다.
- 클라이언트에 300개까지 쿠키저장이 가능하며, 하나의 도메인당 20개의 값만 가질 수 있고 쿠키값은 4KB까지 저장할 수 있다.
- 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송한다.
❗ 쿠키의 구성 요소
- 이름 : 각각의 쿠기를 구별하는데 사용하는 이름
- 값 : 쿠키의 이름과 관련된 값
- 유효시간 : 쿠키의 유지시간
- 도메인 : 쿠키를 전송할 도메인
- 경로 : 쿠키를 전송할 요청 경로
❗ 쿠키의 동작 방식
- 클라이언트가 페이지를 요청한다.
- 서버에서 쿠키를 생성한다.
- HTTP 헤더에 쿠키를 함께 보낸다.
- 브라우저가 종료되어도 쿠키 만료 기간이 있다면 클라이언트에서 보관하고 있다.
- 같은 요청 시 HTTP 헤더에 쿠키를 함께 보낸다.
- 서버에서 쿠키를 읽어 이전 상태 정보를 변경할 필요가 있을 때 쿠키를 업데이트 하여 변경된 쿠키를 HTTP 헤더에 포함시켜서 응답한다.
❗ 세션이란?
- 세션은 쿠키를 기반하고 있지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리 세션은 서버측에서 관리한다.
- 서버에서는 클라이언트를 구분하기 위해 세션 ID를 부여하며 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지한다.
- 사용자 정보를 서버에서 관리하기 때문에 보안에 좋지만, 사용자가 많아질수록 서버 메모리를 많이 차지하게 된다.
- 클라이언트가 Request를 보내면, 해당 서버 엔진이 클라이언트에게 유일한 세션 ID를 부여한다.
❗ 세션의 동작 방식
- 클라이언트가 서버에 접속 시 세션 ID를 발급받는다.
- 클라이언트는 세션 ID를 쿠키로 저장해서 가지고 있다.
- 클라이언트는 서버에 요청할 때, 쿠키로 저장되어 있는 세션 ID를 같이 서버에 전달해서 요청한다.
- 서버는 세션 ID를 전달 받아서 별다른 작업없이 세션 ID로 세션에 있는 클라이언트 정보를 가져와서 사용한다.
- 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답한다.
❗ 쿠키와 세션을 사용하는 이유
- HTTP의 특성이자 약점을 보완하기 위해서 쿠키 또는 세션을 사용한다.
- 기본적으로 HTTP 프로토콜 환경은 'connectionless', 'stateless' 한 특성을 가지기 때문에 서버는 클라이언트가 누구인지 매번 확인을 해야 하는데, 이 단점을 보완하기 위해서 사용한다.
💡 connectionless : 클라이언트가 요청을 한 후 응답을 받으면 그 연결을 끊어 버리는 특징
💡 stateless : 통신이 끝나면 상태를 유지하지 않는 특징