[Network / Http] 쿠키(Cookie)와 세션(Session)의 정의 및 차이점
쿠키와 세션을 사용하는 이유
HTTP 프로토콜 대표적 특징으로 비연결성(Connectionless)와 무상태(Stateless)이 있는데 이러한 특징을 가지고 있으면 서버측에서 클라이언트가 누구인지 알 수 없기에 매번 확인을 하는 과정을 거쳐야한다. 그래서 비연결성 및 무상태의 약점을 보완하기 위해 쿠키와 세션을 사용한다.
만약 HTTP 프로토콜 대표적 특징인 비연결성과 무상태성에 대해 기초 개념이 안잡혀 있으면 HTTP 프로토콜의 정의 및 특징을 한번 참고해 보길 바란다.
쿠키(Cookie)란?
HTTP 쿠키(HTTP cookie)란 하이퍼 텍스트의 기록서(HTTP)의 일종으로서 인터넷 사용자가 어떠한 웹사이트를 방문할 경우2 사용자의 웹 브라우저를 통해 인터넷 사용자의 컴퓨터나 다른 기기에 설치되는 작은 기록 정보 파일을 일컫는다.
출처 : 위키백과
- 클라이언트(브라우저)의 상태정보를 기록하는 작은 기록 정보 파일
- 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지
- 클라이언트에 300개까지 쿠키 저장, 하나의 도메인당 50개 쿠키 지원, 하나의 쿠키는 4KB까지 저장
- HTTP Header를에 Set-Cookie를 이용하여 쿠키 저장 (브라우저가 쿠키가 미지원이거나 비활성화 되어 있을 경우 HTTP Header를 무시)
- 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송
쿠키의 구성 요소
- 이름: 각각의 쿠키를 구별하는 데 사용되는 이름
- 값: 쿠키의 이름과 관련된 값
- 유효시간: 쿠키의 유지시간
- 도메인: 쿠키를 전송할 도메인
- 경로: 쿠키를 전송할 요청 경로
쿠키의 동작 방식
- 클라이언트가 페이지를 요청
- 서버에서 쿠키를 생성
- HTTP Header에 쿠키를 담아 응답
- 브라우저가 종료되어도 쿠키 유효시간이 남아 있디면, 클라이언트가 쿠키 정보 보관
- 같은 요청을 할 경우 HTTP Header를 통해 쿠키 전송
- 서버에서 쿠키를 읽어 이전 상태 정보를 변경 할 필요가 있을 때 쿠키를 업데이트 하여 변경된 쿠키를 HTTP Header에 포함시켜 응답
쿠키의 예시
- 팝업창(오늘은 더 이상 이 창을 보지 않음)
- 방문 사이트에서 아이디 저장 체크박스
세션(Session)이란?
세션(session)은 컴퓨터 과학에서, 특히 네트워크 분야에서 반영구적이고 상호작용적인 정보 교환을 전제하는 둘 이상의 통신 장치나 컴퓨터와 사용자 간의 대화나 송수신 연결상태를 의미하는 보안적인 다이얼로그(dialogue) 및 시간대를 가리킨다
출처 : 위키백과
- 서버의 상태정보 유지기술
- 쿠키를 기반으로 함
- 세션 ID를 부여하며 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지
- 세션 ID로 클라이언트를 구분해 클라이언트의 요구에 맞는 서비스를 제공
- 보안 면에서 쿠키보다 우수하지만 사용자가 많아질수록 서버 메모리를 많이 차지하게 되는데, 이는 성능 저하의 요인
- 클라이언트가 Request를 보내면, 해당 서버의 엔진이 클라이언트에게 유일한 ID를 부여하는 데 이것이 세션 ID
세션 동작 방식
- 클라이언트가 서버로 접속 시도
- 서버는 클라이언트가 전송해온 request-header의 쿠키를 확인해 해당 클라이언트의 세션 ID를 확인
- 만약 세션 ID가 없다면, 서버는 세션 ID를 생성해 클라이언트에게 response-header를 통해 set-cookie 값으로 세션 ID를 응답
- 세션 ID로 세션에 있는 클라이언트 정보를 가지고 와서 서버 요청하여 클라이언트에게 응답
- 클라이언트 재접속 시, 전에 저장해준 쿠키를 이용하여 세션 ID를 서버에 전달
세션의 예시
- 사용자가 사이트에서 로그인을 하고 난 후 로그아웃까지 로그인 상태가 유지
쿠키와 세션의 차이
이때까지 쿠키와 세션에 대해서 알아보았는데 두 역할이 비슷하다는 느낌을 받았다. 아마 가장 큰 차이는 쿠키와 세션이 저장되는 위치인거 같다. 쿠키는 사용자 정보 파일을 클라이언트(브라우저)에 저장하지만 세션은 서버측에서 관리한다. 즉, 쿠키는 서버 자원을 전혀 사용하지 않는다는 것이다.
보안부분에 있어서 세션이 쿠키보다 더 우수하다. 쿠키는 클라이언트 로컬에 저장되기 때문에 request에서 스니핑(패킷 교환을 엿듣는 것)을 당할 우려가 있지만 세션은 쿠키 이용하여 세션 ID만 저장하고 해당 ID로 구분하고 처리하기 때문에 비교적 쿠키보다 보안성이 좋다고 말할 수 있다.
속도부분은 쿠키가 더 빠르다. 세션은 서버에서 처리가 필요해서 비교적 속도가 쿠키보다 비교적 느린 것이다. 쿠키와 세션모두 유효시간을 가질 수 있는데 쿠키같은 경우 브라우저가 종료되도 유효시간이 남아 있다면 계속해서 정보가 남아 있을 수 있지만, 세션은 브라우저가 종료되면 유효시간과 상관없이 삭제된다.
전체적인 측면으로 봤을때 세션이 쿠키보다 속도가 느리지만 보안적으로 안전하고 좋은거 같은데 쿠키를 사용하는 이유는 세션은 서버 자원을 사용하기 때문에 무분별하게 만들게되면 메모리의 무리가 가고 속도가 느려질 수 있기 때문에 쿠키가 유리한 경우가 있다.
Reference
https://interconnection.tistory.com/74
https://ko.wikipedia.org/wiki/HTTP_%EC%BF%A0%ED%82%A4
https://crossjin.tistory.com/entry/%EC%84%B8%EC%85%98Session%EC%9D%B4%EB%9E%80-%EB%AC%B4%EC%97%87%EC%9D%BC%EA%B9%8C
https://velog.io/@aaronddy/%EC%BF%A0%ED%82%A4%EC%99%80-%EC%84%B8%EC%85%98-cookie-session https://88240.tistory.com/190