Cookie/ Session 사용 이유
- HTTP 프로토콜의 약점을 보완하기 위해서
- HTTP 환경은 Connectionless, stateless 특성을 갖고 있음
- connectionless
- 클라이언트가 요청을 한 후 응답을 받으면 그 연결을 끊어버리는 것
- 클라이언트가 서버에게 request를 보내면, 서버는 클라이언트의 요청에 맞는 response를 보내고 접속을 끊음
- 헤더에 keep-alive라는 값을 주어 커넥션을 재활용하는데, HTTP1.1에서 이것이 디폴트
- stateless
- 통신이 끝나면 상태를 유지하지 않는 특징
- 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않음
- HTTP는 TCP를 기반으로 만들어진 프로토콜인데, TCP는 연결지향이고 HTTP는 비연결이라는 특성은 무슨 말일까?
- TCP의 연결 지향
- 안정적인 데이터 전송을 위하여 핸드 셰이크 프로세스를 사용하여 발신자와 수신자 간의 연결을 설정
- UDP의 비연결 지향
- 인터넷 상에서 서로 정보를 주고받을 때 정보를 보낸다는 신호나 받는다는 신호 절차를 거치지 않고 보내는 쪽에서 일방적으로 데이터를 전달하는 통신 프로토콜
- HTTP의 비연결 지향
- 클라이언트와 서버가 한 번 연결을 맺은 후 클라이언트 요청에 대해 서버가 응답을 마치면 맺었던 연결을 끊어버리는 성질
- TCP의 연결 지향
- 서버는 클라이언트가 누구인지 매번 확인해야함
- 이를 보완하기 위해 쿠키와 세션을 사용
쿠키
- 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일
- 사용자 인증이 유효한 시간을 명시할 수 있음
- 유효시간이 정해지면 브라우저가 종료되어도 인증이 유지됨
- 클라이언트의 상태 정보를 로컬에 저장했다가 참조함
- 클라이언트에 300개까지 쿠키 저장가능, 하나의 도메인 당 20개의 값을 가질 수 있음
- 하나의 쿠키값은 4KB 까지 저장
- Response Header에 Set-Cookie 속성을 사용하면 클라이언트에 쿠키를 만들 수 있음
- 사용자가 따로 요청하지 않아도 브라우저가 Request시에 Request Header를 넣어서 자동으로 서버에 전송
- 구성 요소
- 이름 : 각각의 쿠키를 구별하는 데 사용되는 이름
- 값 : 쿠키의 이름과 관련된 값
- 유효시간 : 쿠키의 유지시간
- 도메인 : 쿠키를 전송할 도메인
- 도메인 ? ip는 사람이 이해하고 기억하기 어렵기 때문에 이를 위해서 각 ip에 이름을 부여할 수 있게 했는데 이것을 도메인이라고 한다.
- 경로 : 쿠키를 전송할 요청 경로
- 동작 방식
- 클라이언트가 페이지를 요청
- 서버에서 쿠키를 생성
- HTTP 헤더에 쿠키를 포함시켜 응답
- 브라우저가 종료되어도 쿠키 만료 기간이 있다면 클라이언트에서 보관
- 같은 요청을 할 경우 HTTP 헤더에 쿠키를 같이 보냄
- 서버에서 쿠키를 읽어 이전 상태 정보를 변경 할 필요가 있을 때 쿠키를 업데이트하여 변경된 쿠키를 HTTP 헤더에 포함시켜 응답
세션
- 쿠키를 기반으로 하고 있음
- 사용자 정보를 브라우저에 저장하는 쿠키와 달리 세션은 서버측에서 관리
- 서버에서는 클라이언트를 구분하기 위해 세션 ID를 부여하며, 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지
- 접속 시간에 제한을 두어 일정 시간 응답이 없다면 정보가 유지되지 않게 설정 가능
- 사용자에 대한 정보를 서버에 두기 때문에 쿠키보다 보안에 좋음
- 하지만 사용자가 많아질 수록 서버 메모리를 많이 차지하게 됨
- 동시 접속자 수가 많은 웹 사이트의 경우 서버에 과부하를 주어 성능저하의 요인이 됨
- 각 클라이언트에게 고유한 세션 ID를 부여함
- 세션의 동작 방식
- 클라이언트가 서버에 접속 시 세션 ID를 발급 받음
- 클라이언트는 세션 ID 에 대해 쿠키를 사용해서 저장하고 갖고있음
- 클라이언트는 서버에 요청할 때 이 쿠키의 세션 ID를 같이 서버에 전달해서 요청
- 서버는 세션 ID를 전달 받아서 별다른 작업 없이 세션 ID로 세션에 있는 클아이언트 정보를 가져와서 사용
- 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답
| 쿠키/세션 차이점 | 쿠키 | 세션 |
| 서버 자원 사용 여부 | X | O |
| 보안 | 상대적으로 떨어짐 로컬에 저장되기 때문에 변질 우려, 또는 request에서 스니핑 당할 수 있음 |
상대적으로 우수 |
| 요청속도 | 상대적으로 빠름 | 상대적으로 느림(서버의 처리 필요) |
| 쿠키 사용 여부 | 0 | 0 |
| 만료시간 | 유효기간까지, 브라우저 종료해도 계속해서 정보 남아있을 수 있음 | 만료시간 정할 수 있으나 브라우저가 종료되면 만료시간 상관없이 삭제 됨 |
참조
https://victorydntmd.tistory.com/286
[HTTP] HTTP 특성(비연결성, 무상태)과 구성요소 그리고 Restful API
이번 글에서는 HTTP의 가장 큰 특징인 비연결성, 무상태 그리고 HTTP 상태코드(status)와 메서드(method), 헤더(header)에 대해 알아보도록 하겠습니다. 1. 비연결성 ( Connectionless ) 비연결성은 클라이언트
victorydntmd.tistory.com
'웹' 카테고리의 다른 글
| URL / URI 차이 (0) | 2022.04.19 |
|---|---|
| WEB / WAS의 차이 (0) | 2022.04.19 |
| TCP/IP 4 계층 (0) | 2022.04.19 |
| OSI 7 계층 (0) | 2022.04.19 |
| TCP / UDP .. 그리고 기타 용어 정리 (0) | 2022.04.18 |
