쿠키(Cookie)와 세션(Session)

클라이언트와 서버사이의 데이터를 전송하기위해서 HTTP 프로토콜을 사용한다.

비연결지향형이라는 점에서 리소스 낭비는 줄어들지만 매번 같은 연결 절차를 수행해야하는 번거로움 존재하기 때문에,

쿠키와 세션을 사용한다.

 

 # HTTP protocol 

  - 비연결지향형프로토콜 : 클라이언트의 요청에 대해 서버 응답이 완료되면 연결을 끊는 특성

  - 커넥션을 끊는 순간 클라이언트와 서버의 통신이 끝나며 이에 대한 상태정보를 저장하지 않는 특성

 

1. 쿠키(Cookie)

  : 클라이언트 측에 저장되는 작은 데이터 파일(키와 값) ➡︎ 클라이언트측에 저장되었다 요청시 참조됨

  : 쿠키는 서버에서 HTTP Response Header의 Set-Cookie속성을 이용하여 클라이언트에게 쿠키를 제공

  : 쿠키는 이름, 값, 만료일시(저장기간), 경로, 정보 등을 포함

  : 만료일시가 저장되는 경우 세션쿠키로, 만료일시가 없는 경우 항상 유지하는 지속쿠키에 저장

  : 쿠키는 사용자의 별도 요청 없이도 브라우저에서 자동으로 Request 헤더에 담아 요청한다

  # 쿠키 프로세스  

      ① 브라우저 웹페이지 접속

      ② 클라이언트 요청에 대한 응답시 HTTP헤더에 서버가 제공하는 쿠키값을 같이 줌 ➡︎ 이때, 클라이언트가 쿠키를 받아 저장

      ③ 클라이언트가 재요청시 저장한 쿠키 정보도 같이 HTTP헤더에 담아서 요청

      ④ 서버는 클라이언트 요청에서 쿠키값을 참고하여 비지니스 로직을 수행 (e.g. 로그인상태유지..)

    1) 세션쿠키(Session Cookie)

       : 만료일시가 정해진 쿠키

       : 브라우저 메모리에 저장되므로, 브라우저 종료시 쿠키는 자동소멸 ⇨ 보안상 지속쿠키보다 안전

   2) 지속쿠키(Persistent Cookie)

       : 만료일시가 없어 항상 유지하는 것으로 판단된 쿠키

       : 파일로 저장되어, 브라우저 종료시에도 쿠키 유지

 

2. 세션(Session)

  : 웹서버에 클라이언트 상태 정보를 저장 ➡︎ 클라이언트에게는 클라이언트 구분할수 있는 고유값인 SessionID 부여

  : 즉 클라이언트의 정보는 서버에 두고 SessionID를 이용해 인증하여 정보를 이용하는 방식

   # 세션 프로세스  

     ① 클라이언트 요청시, 필요에 따라 세션에 클라이언트 데이터를 저장 후 SessionID를 발급

     ② 클라이언트는 발급받는 SessionID를 쿠키로 저장 (e.g. JSESSIONID)

     ③ 클라이언트 재요청시 세션ID를 서버에 전달하여 상태정보를 서버가 활용하게 함

 

3. 쿠키과 세션의 차이

 

 

4. 세션을 사용하지않고, 쿠키를 사용하는 이유?

세션이 보안측면에서 우수하지만,

세션은 서버의 자원을 활용하기 때문에 서버자원의 한계가 발생할 수 있고 메모리 부하로 속도저하 가능성이 있기 때문에 그렇다.

 

5. 캐시란?

자원(이미지, css파일, js파일 등)을 사용자 브라우저에 저장 후 해당 자원 로드시 캐시되어있는 자원을 재사용하는것

➡︎ 클라이언트의 자원을 아낄 수 있지만, 캐시된 자원이 변경되는 경우에도 변경 자원을 사용하지 못하는 경우가 발생 할 수 있다.

➡︎ 이에 사용자는 브라우저 캐시를 지우거나, 서버에서 클라이언트로 응답시 Header에 자원 캐시 만료일시를 명시하는 것을 권장