쿠키vs 세션

 

쿠키와 세션을 사용하는 이유

: 정보를 저장하여 웹 통신간 사용 ex) 로그인 정보

 

우리가 이용하는 인터넷상에서 데이터를 주고 받기 위해 http 프로토콜을 사용.

(http : Hypertext Transfer Protocol)

TCP/IP위에서 작동하며, 서버/클라이언트 모델에 따름.

 

클라이언트에서 요청 (Request) 를 보내면 서버가 요청을 받고 처리하여 응답(Response)을 한다.

 

이러한 http의 특징으로는

• Connectionless(비연결지향)
  • 클라이언트가 서버에 요청을 하고 요청에 맞는 응답을 받으면 연결을 끊음.
  • 기본적으론 클라이언트에서 끊으나, 특정 설정을 해주면 서버에서도 끊을 수 있음(관련해선 tcp state 중 close wait 참조)
  • 1.1버전에선 연결을 유지하고, 재활용 하는 기능이 default로 추가
    • 헤더에 keep-alive라는 값을 통해 커넥션을 재활용
• Stateless(상태정보 유지 안함)
  • 비연결지향에서 나온 특징으로 연결을 끊는순간 클라이언트의 상태정보를 가지지 않는다.

 

이렇기 때문에 로그인 정보를 유지한다던지 할때 문제점이 발생하는데, 이러한 문제점을 해결해주는 것이

쿠키와 세션이다.

 

쿠키(Cookie)

• 쿠키는 클라이언트 로컬에 저장된 작은 데이터 파일.
• 이름, 값, 만료일(저장기간), 경로 정보로 구성되어 있다.
• 클라이언트는 300개까지 쿠키 저장이 가능하고, 하나의 도메인 당 20개의 값을 가질 수 있다.(쿠키 당 4kb까지 저장 가능)

쿠키 동작 방식

• 클라이언트가 서버에 페이지를 요청
• 서버는 쿠키를 생성하여 http 헤더에 쿠키를 포함시켜 응답
• 클라이언트 로컬피씨 내에 쿠키를 보관
• 이후 서버에 요청할때 쿠키를 요청헤더에 추가하여 요청(브라우저가 처리)

쿠키 사용 예

• 방문 사이트에 다시 방문했을 때 아이디,비밀번호 자동 입력
• 쇼핑몰의 장바구니
• 팝업창을 통해 "오늘 다시 창 보지 않기" 체크

 

세션(Session)

• 쿠키를 기반으로, 서버측에 저장
• 클라이언트를 구분하기 위해 세션 id를 부여하여 웹 브라우저가 서버에 접속해서 종료할때까지 인증상태 유지
• 접속 시간에 제한을 두어 일정 시간 응답 없을 시 유지 안되게 설정도 가능
• 서버에 사용자 정보를 두기 때문에 쿠키에 비해 보안이 좋지만, 서버 메모리를 많이 차지함
• 저장 데이터에 제한이 없음(용량이 크거나 동시 접속자가 많을 시 서버 부하)

세션 동작 방식

• 클라이언트가 서버에 페이지를 요청
• 서버는 접근한 클라이언트의 Request-Header 필드인 Cookie 확인, 클라이언트가 해당 session-id를 보냈는지 확인
• session-id가 존재하지 않을 시, 생성하여 클라이언트에 돌려줌(클라이언트는 쿠키형식으로 세션 id를 보관)
• session-id를 토대로 클라이언트를 정보를 가져와서 요청 처리 및 응답

세션 사용 예

• 로그인 등 보안 상 중요 데이터를 작업할때 사용

 

쿠키와 세션의 차이

쿠키세션

저장위치	클라이언트	서버
저장 형식	text	Object
만료 시점	쿠키 저장시 설정(만료시점이 지나면 삭제)	브라우저 종료시 삭제(기간 지정 가능)
사용하는 자원	클라이언트 리소스	웹 서버 리소스
용량 제한	클라이언트 당 총 300<br />하나의 도메인 당 20개<br />하나의 쿠키당 4kb	서버 허용 내 제한 없음
속도	세션에 비해 빠름	쿠키에 비해 느림
보안	세션에 비해 안좋음	쿠키에비해 좋음

 

참조 사이트

https://hahahoho5915.tistory.com/32

쿠키(Cookie), 세션(Session) 특징 및 차이

https://interconnection.tistory.com/74

쿠키와 세션 개념