세션과 쿠키

HTTP는 Stateless 한 특징을 가진다. 그러나 로그인 상태, 쇼핑몰 장바구니 기능 등을 위해 상태를 유지해야 할 때가 있는데, 이때 세션과 쿠키를 사용한다. 

세션

---

서버 측에 저장되어 관리되는 정보.

세션의 특징

• 클라이언트와 서버 간의 접속을 유지시켜주는 역할
• 클라이언트가 서버에 요청할 경우 서버는 각 클라이언트를 구분할 수 있는 식별자(세션 ID) 부여
• 여러 클라이언트가 요청하는 정보들은 이 세션 ID를 통해 각 클라이언트를 구분해 정보 저장

세션 동작 순서

• 클라이언트가 페이지에 요청 (사용자가 웹사이트에 접근)
• 서버는 접근한 클라이언트의 Request-Header 필드인 Cookie를 확인하여, 클라이언트가 해당 session-id를 보냈는지 확인
• session-id가 존재하지 않는다면 서버는 session-id를 생성해 클라이언트에게 반환
• 서버에서 클라이언트로 돌려준 session-id를 쿠키를 사용해 서버에 저장
• 클라이언트는 재접속 시, 이 쿠키를 이용해 session-id 값을 서버에 전달

쿠키

---

클라이언트 측에 저장되어 관리되는 정보. 

쿠키의 구성 요소

• name - 쿠키 이름 지정
• value - 쿠키 값을 지정
• expires - 쿠키 만료 기간 지정
• path - 쿠키가 전송될 서버의 URL 지정, 유효한 URL일 경우 쿠키 객체 전송
• secure - 이 속성을 추가하면 보안 채널(SSL 등)로 전송되어야 함

쿠키 동작 순서

• 클라이언트가 페이지를 요청 (사용자가 웹사이트에 접근)
• 웹 서버는 쿠키를 생성
• 생성한 쿠키에 정보를 담아 HTTP 화면을 돌려줄 때, 같이 클라이언트에게 반환
• 넘겨받은 쿠키는 클라이언트가 가지고 있다가(로컬 PC에 저장) 다시 서버에 요청할 때 요청과 함께 쿠키를 전송
• 동일 사이트 재방문 시 클라이언트의 PC에 해당 쿠키가 있는 경우, 요청 페이지와 함께 쿠키를 전송

쿠키와 세션의 차이

---

• 쿠키와 세션은 비슷한 역할을 하며, 동작 원리도 비슷하다. 그 이유는 세션도 결국 쿠키를 사용하기 때문.
• 차이는 사용자의 정보가 저장되는 위치. 쿠키는 서버의 자원을 사용하지 않음, 세션은 서버의 자원 사용.
• 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 request에서 스니핑 당할 우려가 있어 보안에 취약.
• 세션은 쿠키를 이용해서 session-id를 저장해 session-id로 구분하여 서버에서 처리하기 때문에 비교적 보안성이 높음.
• 라이프 사이클은 쿠키도 만료기간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 정보가 유지될 수 있음. 또한 만료기간을 따로 지정해 쿠키를 삭제할 때까지 유지할 수도 있음.
• 세션도 만료기간을 정할 수 있지만, 브라우저가 종료되면 만료기간에 상관없이 삭제.
• 속도 면에서 쿠키가 더 우수
• 쿠키는 쿠키에 정보가 있기 때문에 서버에 요청 시 속도가 빠름
• 세션은 정보가 서버에 있기 때문에 처리가 요구되어 비교적 느림.

참조

---

https://hahahoho5915.tistory.com/32

https://interconnection.tistory.com/74

https://dev-coco.tistory.com/61