[네트워크] 쿠키(Cookie)와 세션(Session) 특징, 차이

  HTTP 프로토콜은 비연결 지향으로 서버가 클라이언트의 요청에 따라 응답을 보내주면 바로 연결을 끊는다. 또, 연결을 끊는 순간 클라이언트와 서버의 통신이 종료되며 상태 정보를 유지하지 않는다. 이와 같은 특성으로 HTTP 프로토콜은 모든 요청 간의 의존 관계가 없어 현재 접속한 사용자가 이전에 접속한 사용자와 같은 사용자인지 확인하지 못한다. 즉, 클라이언트와 서버가 통신할 때마다 새롭게 연결해야 하며 클라이언트는 매 요청마다 인증 과정을 거쳐야 한다. 따라서, HTTP 프로토콜에서 이전 요청과 현재 요청이 같은 사용자의 요청인지 알게되는 상태 유지를 위해 쿠키(Cookie)와 세션(Session)을 사용한다. 쿠키와 세션에 대한 특징과 차이는 다음과 같다. 

 

쿠키(Cookie)

• 개념
  • 클라이언트 로컬 스토리지에 저장되는 키(key)와 값(value)이 들어있는 파일
  • 클라이언트의 상태 정보를 브라우저에 저장하여 참조
  • 아이디/비밀번호 저장, 쇼핑몰 장바구니 등에 사용
• 구성 요소
  • 쿠키의 이름 (name)
  • 쿠키의 값 (value)
  • 쿠키의 만료 시간 (Expires)
  • 쿠키를 전송할 도메인 이름 (Domain)
  • 쿠키를 전송할 경로 (Path)
  • 보안 연결 여부 (Secure)
  • HttpOnly 여부 (HttpOnly)
• 동작 방식

1. 클라이언트(브라우저)가 서버에게 요청
2. 서버는 상태를 유지하고 싶은 데이터(user)를 쿠키로 생성
3. 서버가 클라이언트에게 응답을 보낼 때 HTTP헤더(set-cookie)에 쿠키를 포함하여 전송 [set-cookie: user=jiyun]
4. 전달 받은 쿠키는 클라이언트(브라우저)에서 관리하다가 다시 서버에 요청 시 해당 쿠키를 HTTP헤더에 넣어 전송 [cookie: user=jiyun]
5. 서버는 쿠키 정보를 읽고 상태 정보를 확인한 후 응답

 

세션(Session)

• 개념
  • 일정 시간동안 같은 클라이언트로부터 들어오는 요청을 하나의 상태로 보고 그 상태를 유지하는 기술
  • 웹 브라우저를 통해 서버에 접속한 이후부터 브라우저가 종료될 때까지 유지
  • 로그인과 같은 보안상 중요한 작업 수행 시 사용
• 동작 방식

1. 클라이언트(브라우저)가 서버에 요청
2. 서버는 클라이언트 구분을 위해 클라이언트(브라우저)에 유일한 세션 ID를 부여
3. 서버가 응답 시 HTTP헤더(set-cookie)에 세션 ID를 포함해서 전송 [set-cookie: sessionId:x1r2fjc0]
4. 클라이언트는 세션 ID에 대한 정보를 쿠키로 관리
5. 이후 클라이언트(브라우저)에서 서버로 요청 시 세션 ID가 담겨있는 쿠키를 HTTP헤더에 넣어 전송 [cookie: sessionId:x1r2fjc0]
6. 서버는 세션 ID를 확인한 후 요청을 처리

 

쿠키(Cookie) VS 세션(Session)

	쿠키(Cookie)	세션(Session)
저장 위치	클라이언트 (접속자 PC 브라우저)	웹 서버
저장 형식	text	Object
만료 시점 (라이프사이클)	쿠키 저장 시 설정 ( 브라우저가 종료되어도 만료기간이 남아있다면 삭제되지 않음)	브라우저 종료 시 삭제 (만료기간을 설정할 수 있지만 브라우저 종료 시 이와 상관없이 삭제)
사용하는 자원(리소스)	클라이언트 리소스	웹 서버 리소스
용량 제한	총 300개 / 한 도메인 당 20개 / 한 쿠키 당 4KB	서버가 허용하는 한 용량 제한 없음
속도	클라이언트에 저장되어 빠름	서버가 처리하여 쿠키보다 느림
보안	모든 정보가 클라이언트가 저장되어 보안에 취약	클라이언트에는 세션ID만 저장하여 보안성이 좋음

 

※ 세션이 보안 차원에서도 좋은데 쿠키를 사용하는 이유

  세션은 서버의 자원을 사용하기 때문에 너무 많이 만들거나 사용자가 많아질 경우 서버의 메모리가 감당할 수 없어지고 이에 따라 속도가 느려질 수 있다.