쿠키와 세션 정의 및 차이

[ 쿠키와 세션 정의 ]

쿠키 ( Cookie )

- 클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 4KB내의 작은 데이터 파일

- 사용자 인증이 유효한 시간을 명시하며, 유효 시간이 정해지면 브라우저 종료시에도 인증이 유지

- 클라이언트의 상태 정보를 로컬에 저장한 후 참조

- 최대 300개까지 저장 가능하며, 도메인당 20개의 값만 보유

- Response Header에 Set-Cookie 속성을 사용하여 클라이언트 쿠키를 생성 가능

세션 ( Session )

- 쿠키를 기반으로 하며, 사용자 정보 파일을 클라이언트(브라우저)에 저장하는 쿠키와 달리 서버 측에서 관리

- 클라이언트 구분을 위한 세션 ID를 부여하며, 웹 브라우저가 서버에 접속하여 브라우저 종료시까지 인증 상태를 유지

- 접속 시간에 제한을 두어 일정 시간 응답이 없을 시 정보가 유지되지 않게 설정 가능

- 쿠키에 비해 서버 측에 저장하기 때문에 보안상 안전하지만, 사용자가 많아지게 되면 서버 메모리를 차지하게 됨

- 동접자 수가 많을 시에 서버에 과부하로 인한 성능 저하가 발생

- 클라이언트가 요청(Request)를 보내게 되면, 서버의 엔진이 클라이언트에게 유일한 ID를 부여

[ 쿠키와 세션 동작 방식 ]

쿠키 ( Cookie )

클라이언트 페이지 요청(Request) -> 서버에서 쿠키 생성 -> HTTP 헤더에 쿠키를 포함하여 응답(Response)

-> 브라우저 종료시 쿠키 만료 기간 또는 설정에 의한 클라이언트 보관 유무 -> 재요청시 HTTP 헤더 쿠키 전송(Request)

-> 서버에서 쿠키값 확인 후 이전 상태 정보 변경 필요 시 쿠키 업데이트 후 변경된 쿠키 HTTP 헤더 포함 후 응답(Response)

세션 ( Session )

- 클라이언트에서 서버에 접속 시 세션 ID 발급 -> 세션 ID에 대한 쿠키를 사용하여 저장 ( ex) JSESSIONID,PHPSESSID )

-> 클라이언트가 서버에 재접속 시 해당 쿠키를 이용해 세션 ID 값을 서버에 전달

[ 쿠키와 세션 동작 방식 ]

- 동작 원리의 경우 세션도 결국 쿠키를 사용하기 때문에 유사

- 사용자의 기록 정보가 저장되는 위치가 쿠키의 경우 클라이언트, 세션의 경우 서버

- 보안적인 측면에서는 세션이 더 우수, 요청 속도는 쿠기가 더 빠름 ( 세션의 경우 처리 )

- 쿠키는 스니핑 공격에 취약하지만, 서버는 세션키를 이용한 SESSIONID만 저장하며, 구분해서 분류하기 때문에 보안상 좋음

- 라이프 사이클의 경우 쿠키도 만료시간이 있지만 파일 저장이므로, 브라우저 종료 시에도 정보가 유지 ( 만료기간을 변경하여 설정 가능 )

- 세션의 경우 만료시간을 정할 수 있지만 브라우저 종료 시 만료시간에 상관없이 삭제

* Tip : 세션 사용을 하지 않고 쿠키를 사용하는 이유?

- 세션만 사용하게 될 경우 서버의 자원을 사용하므로, 무분별한 생성 시 서버의 메모리를 감당할 수 없어 속도가 느려질 수 있기 때문