[네트워크] 쿠키(Cookie), 세션(Session)이란?

Web개발을 하다보면 필수적으로 사용하게 되는 웹 통신을 위한 저장소인 쿠키와 세션을 마주치게 됩니다.

우선 이러한 저장소가 필요한 이유를 알기위해 HTTP의 특징을 알아야합니다.

 

**HTTP와 HTTPS의 자세한 내용은 아래의 링크를 참고하세요.

https://j-su2.tistory.com/16?category=1016208 

[네트워크] HTTP와 HTTPS

HTTP의 특징

HTTP 통신규약은 Connectionless하고 Stateless하다고 할 수 있습니다.

• Connectionless(비연결 지향)
  • 브라우저를 통해 사용자의 요청으로 서버와 접속하여 요청에 대한 응답의 데이터를 전송하고 연결을 종료합니다.
• Stateless(무상태)
  • HTTP 통신은 요청을 응답하고 접속을 끊기 때문에 클라이언트의 상태정보를 유지하지 않아서 알 수 없습니다.

따라서 로그인을 하고 그 상태를 유지하기 위해서 쿠키와 세션이라는 개념을 사용하게 됩니다.

 

쿠키(Cookie)란?

쿠키는 클라이언트(브라우저) 로컬에 저장되는 Key-Value쌍의 작은 데이터 파일로, 즉 웹 사이트를 접속할 때 생성되는 정보를 담은 임시파일입니다.

 

쿠키의 특징

• 쿠키이름, 쿠키값, 만료시간, 전송할 도메인명, 전송할 경로, 보안연결 여부, HttpOnly여부 등으로 구성됨
• 최대 4KB까지 저장 가능
• 서버 데이터를 공유하는 용도로 서버 요청시 HTTP요청 Headers에 자동으로 실려서 따라옴
  (SSR 시점에 LocalStorage값을 알 방법이 없지만, 쿠키데이터는 알 수 있어서 서버에서 HTML을 렌더링 할 때 로딩시간을 단축시킬 수 있음)
• 데이터 유효기간 지정 가능
• 파일에서 읽기 때문에 세션보다 상대적으로 빠름

쿠키의 동작방식

 

1. 클라이언트가 서버에 로그인 요청
2. 서버는 클라이언트의 로그인 요청의 유효성을 확인(ID & PW 검사)하고 응답 헤더에 set-cookie로 정보를 추가하여 응답
3. 클라이언트는 이후 서버에 요청할 때 전달받은 쿠키를 자동으로 요청 헤더에 추가하여 요청

 

쿠키의 종류

만료기간 별 종류

종류	설명
영구 쿠키(Persisten Cookie)	만료 기간이 있어서 기간이 끝나면 삭제
세션 쿠키(Seesion Cookie)	만료 기간이 없어서 브라우저 종료시 삭제

도메인 별 종류

종류	설명
First party Cookie	같은 도메인에서 생성된 쿠키 서브 도메인의 경우도 포함
Third party Cookie	다른 도메인에서 생성된 쿠키 img, font, iframe등 다른 도메인에 요청을 해야할 경우 생성

 

쿠키의 단점

• HTTP 요청 시 자동으로 모든 쿠키가 전송되어 불필요한 트래픽이 증가하기도 함
• 방문했던 웹 사이트에 대한 정보 및 개인정보가 기록되어 남기 때문에 사생활 침해의 소지가 있음
• 서버가 가지고 있지 않고 사용자에게 저장되기 때문에 임의로 수정이 가능하고 가로채기 쉬워 보안에 취약함
• *CSRF, *XSS 등의 보안적 문제가 있음

*CSRF : 사용자 권한을 이용한 공격으로 사이트에 로그인 되어있는 유저에게 악성 스크립트를 실행

*XSS : token을 통해 사용자의 민감한 정보를 탈취

따라서 쿠키는 민감하거나 중요한 정보를 담기에는 위험성이 있어서 이를 보완하기 위해 세션이 등장하였습니다.

 

 

세션(Session)이란?

세션은 서버측에서 관리되는 브라우저가 종료되기 전까지 클라이언트의 요청을 유지해주는 기술입니다.

 

세션의 특징

• 세션 ID는 웹 브라우저 당 1개씩 생성되어 웹 컨테이너에 저장되는 방식이기 때문에 브라우저 종료시 소멸
• 같은 브라우저 탭 안에서는 새로고침을 해도 유지됨
• 단발성 정보를 저장하기에 적합(상품 조회 조건 등)
• 서버에 저장되므로 쿠키보다 보안측면에서 뛰어남
• 제한 시간을 적용해 일정 시간 응답이 없으면 세션을 제거하도록 설정 가능

세션의 동작방식

1. 클라이언트가 서버에 로그인 요청
2. 서버는 클라이언트의 로그인 요청의 유효성을 확인(ID & PW 검사)하고 unique한 sessionid를 저장
3. 서버가 응답할 때 응답헤더에 set-cookie: sessionid:****** 형태로 추가하여 응답
4. 클라이언트는 이후 서버에 요청시 전달받은 session ID값을 저장된 세션 저장소에서 찾아보고 유효성 검사후 요청을 처리하고 응답
5. 서버에서는 요청헤더의 세션 ID값을 저장된 세션 저장소에서 찾아보고 유호성 검사후 요청을 처리하고 응답

 

세션의 단점

• 사용자가 계속해서 늘어날수록 서버 메모리를 많이 필요로 하기 때문에 서버 과부하로 인한 성능 저하 문제점이 발생
• 서버에서 처리하기 때문에 쿠키에 비해 비교적 느림

 

*세션과 쿠키 외에도 유사하게 저장소를 제공하는 웹 스토리지가 있습니다. 웹 스토리지에 대해선 아래의 내용을 참고하세요.

https://j-su2.tistory.com/48

[JavaScript] 웹 스토리지(localStorage, sessionStorage)란?

 

[참고]

https://chrisjune-13837.medium.com/web-%EC%BF%A0%ED%82%A4-%EC%84%B8%EC%85%98%EC%9D%B4%EB%9E%80-aa6bcb327582

[WEB] 쿠키, 세션이란?

 

https://kangdanne.tistory.com/197

[WEB] 웹 저장소 - 쿠키/로컬스토리지/세션스토리지

https://velog.io/@kler/TIL4-%EB%A1%9C%EC%BB%AC%EC%8A%A4%ED%86%A0%EB%A6%AC%EC%A7%80-%EC%84%B8%EC%85%98%EC%8A%A4%ED%86%A0%EB%A6%AC%EC%A7%80-%EC%BF%A0%ED%82%A4-%EC%A0%95%EB%A6%AC

로컬스토리지, 세션스토리지, 쿠키 정리

 

https://devuna.tistory.com/23

[web] 쿠키(cookie)와 세션(session)의 개념/차이/용도/작동방식