📜 개요
🔹 쿠키와 세션에 대한 공부를 하며 들었던 의문이다. HTTP는 Stateless ( 무상태성 )하고 Connectionless ( 비연결성 ) 한 특징을 갖고 있는데 그렇다면 로그인 정보는 어떻게 저장하는 걸까? 이에 대한 해답으로 나온 것이 쿠키와 세션이다. 먼저, 쿠키와 세션에 대해서 알아보자.
👻 HTTP
🔹 HTTP는 클라이언트-서버 사이에 이루어지는 요청/응답(request/response) 프로토콜이다. 예를 들어 클라이언트 ( 웹 브라우저 )가 특정 웹 페이지에 접속할 경우 HTTP를 통해 해당 웹 페이지의 그림 정보 등을 서버에 요청하고, 서버는 이 요청에 응답하여 필요한 정보를 클라이언트에 전달하는 식이다.
HTTP는 다음 두 가지 특징을 지닌다.
◈ Connectionless (비연결성)
◈ Stateless (무상태성)
두 성질의 관계를 보면 Connectionless한 성질 때문에 Stateless 해진다라고 생각하면 된다.
Connectionless ( 비연결성 )은, 연결을 맺은 서버-클라이언트 관계에서 클라이언트의 요청에 대해 서버가 응답을 마치면 그 연결을 끊는 성질을 의미한다. 이로 인해 A 클라이언트가 보내는 5번의 요청을 서버는 모두 A 클라이언트의 요청인지, A ~ E 클라이언트가 보내는 각각의 요청인지 식별할 수 없어진다. 서버는 매 요청마다 클라이언트를 식별할 필요성이 생긴 것이다. 이를 클라이언트의 상태를 저장하지 않는 무상태성, 즉 Stateless한 성질이라고 표현하였다.
[ HTTP는 왜 Connectionless하고 Stateless할까? ]
HTTP는 인터넷 상 불특정 다수의 통신 환경을 기초로 설계되었다. 따라서 한 번 맺은 연결을 지속적으로 유지한다면 쓸데 없이 많은 자원이 소요될 것이다. 매번 연결을 맺는 편이 지속적 연결 유지에 자원을 쓰는 것보다 효율적일 것이다.
🍪 Cookie ( 쿠키 )
HTTP의 일종으로 사용자가 어떠한 웹 사이트를 방문할 경우, 그 사이트가 사용하고 있는 브라우저에 저장하는 작은 기록 정보 파일
📢 앞서 HTTP프로토콜의 비연결성과 무상태성의 특징으로 인해 서버가 클라이언트의 상태를 기억해야 할 필요성이 있다고 언급했다. 이를 위해 HTTP가 선택한 수단이 바로 쿠키와 세션이다.
[ 쿠키의 동작 순서 ]
- 클라이언트가 페이지를 요청한다. (사용자가 웹사이트에 접근)
- 웹 서버는 쿠키를 생성한다.
- 생성한 쿠키에 정보를 담아 HTTP 화면을 돌려줄 때, 같이 클라이언트에게 돌려준다.
- 넘겨받은 쿠키는 클라이언트가 가지고 있다가(로컬 PC에 저장) 다시 서버에 요청할 때 요청과 함께 쿠키를 전송한다.
- 동일 사이트 재방문 시 클라이언트의 PC에 해당 쿠키가 있는 경우, 요청 페이지와 함께 쿠키를 전송한다.
[ 쿠키의 장단점 ]
먼저, 쿠키의 장점을 보자.
- 사용자 입장에서, 별도의 인증 과정을 거치지 않고 서버가 나를 쉽게 기억하도록 할 수 있다. ID-PW를 굳이 입력하지 않아도 되는 자동완성 기능, 지난 번 읽었던 글이 다시 새로운 글에 업데이트 되지 않도록 하는 기능 등 무상태성인 HTTP에게 상태 정보를 기억하게 하는 가벼운 일에 쿠키가 쓰인다.
쿠키의 단점은 이렇다.
- 쿠키값은 쉽게 수정 가능하다.텍스트로 저장되다 보니 더욱 더. 따라서 악의적인 공격자에 의해 변조될 가능성도 크다. 쿠키가 서버에 나를 기억하게 하는 용도인 동시에 보안적 약점이 있다보니 쿠키에는 그다지 중요하지 않은 정보만 저장해야 할 것이다.
[ 쿠키의 LifeTime ]
Session 쿠키 & Permanent 쿠키
🔹 쿠키의 라이프타임은 Session Cookie와 Permanenet 쿠키 두 가지 방법으로 정의될 수 있다.
Session 쿠키란 웹 브라우저가 종료될 때 제거되는 쿠키, 즉 현재 세션이 끝날 때 삭제되는 쿠키를 말한다. 위에서 살펴본 쿠키는 Session 쿠키이다. 브라우저가 종료되더라도 쿠키를 유지하고 싶다면, Permanent 쿠키를 이용하면 된다. 쿠키를 생성할 때 Expires 또는 Max-Age 옵션을 추가하면 된다.
- Expires : 쿠키가 만료될 날짜 지정
- Max-Age : 현재 시간을 기준으로 얼마동안 쿠키를 유지시킬 것인가를 지정
Set-Cookie: yummy_cokie=choco; Expires=Wed, 26 Oct 2022 07:28:00 GMT;⚙️ Session ( 세션 )
Session 이란, 비밀번호를 비롯한 인증 정보를 쿠키가 아닌, 서버 측에서 저장하고 관리하는 방식이다.
🔹 클라이언트의 웹 브라우저에 쿠키를 저장해놓고, 매 요청마다 헤더에 쿠키를 넣어 전달하는 방식을 사용하는 방식으로 인증을 구현할 경우, 쿠키가 유출되거나 조작될 수 있는 등 보안상 결함이 존재한다. 개인 소유가 아닌 공용 컴퓨터에서 사용할 경우, 누구나 그 사용자의 비밀번호를 확인할 수 있게 되며 HTTP로 개인 정보를 주고 받는 것은 매우 위험하다. (JsessionId 는 톰캣에서 세션을 유지하기 위해 발급하는 키)
그렇기 때문에 서버에 저장하고 관리하는 방식인 세션 방식을 통해 이런 문제를 해결하고자 했다.
[ 세션의 동작 순서 ]
- 클라이언트가 서버에게 페이지 정보를 요청
- 서버는 클라이언트에 대한 쿠키 생성 후, HTTP 응답 헤더에 세션 ID 값이 담긴 쿠키를 포함하여 응답 (HTTP response 헤더의 'set-cookie')
- 클라이언트의 요청과 서버의 응답이 끝나면 HTTP의 비연결성으로 인해 연결 끊김
- 새로운 요청을 할 경우, 이전에 받은 쿠키값을 보관(SSID, JSESSIONID 등)하고 있다가 HTTP 요청 헤더에 세션 ID 값이 담긴 쿠키를 포함하여 요청 (HTTP request 헤더의 'cookie')
- 서버는 쿠키 내 세션 ID 값을 보고 이전에 요청을 보낸 클라이언트를 인식하여 상태를 기억하여 HTTP의 Stateless한 성질을 보완
말 그대로 쿠키를 통해 세션 ID가 저장 및 관리되다 보니 쿠키의 작동 방식과 거의 같다. 한 가지 다른 점은 단순한 쿠키값이 아니라, 쿠키 값 내 서버가 준 세션 ID에 대한 정보를 서버와 클라이언트가 주고 받으며 서버에 클라이언트를 인증하는 것이다. 세션 ID는 서버가 발급하고, 관리하기 때문이다.
[ 세션의 장단점 ]
장점은 다음과 같다.
- 쿠키를 포함한 요청이 외부에 노출되더라도, 세션 ID 자체는 유의미한 개인정보를 담고 있지 않으므로 쿠키 방식보다는 훨씬 안전하다. 그러나 누군가가 어떤 사용자의 session id를 탈취하여 클라이언트인 척 위장하여 로그인하여 사용할 수 있게 된다는 한계가 존재한다.
- 각 사용자마다 고유한 세션 ID가 발급되므로, 요청이 들어올 때마다 회원 정보를 DB에 접근하여 확인할 필요가 없다.
세션의 단점이다.
- 쿠키에 비해 조금 느리다. 쿠키는 서버의 헤더를 바로 참조하면 되지만 세션은 세션ID를 주고 받은 다음 인증을 거쳐 서버의 데이터를 참조해야 하므로 속도가 비교적 조금 느리다.
- 세션은 서버의 자원을 사용한다. 한계가 존재하는 서버 자원을 사용하므로 속도 저하나 오버헤드 등 서버에 부하를 줄 수 있다.
- 그럼에도 불구하고 해킹의 위험성은 여전하다. 대표적으로 세션 하이재킹 (Session Hi-jacking)이 있다.
🚧 쿠키와 세션의 차이
| 쿠키(Cookie) | 세션(Session) | |
| 저장 위치 | 클라이언트(=접속자 PC) | 웹 서버 |
| 저장 형식 | text | Object |
| 만료 시점 | 쿠키 저장시 설정(브라우저가 종료되도, 만료시점이 지나지 않으면 자동삭제되지 않음) | 브라우저 종료시 삭제(기간 지정 가능) |
| 사용하는 자원(리소스) | 클라이언트 리소스 | 웹 서버 리소스 |
| 용량 제한 | 총 300개하나의 도메인 당 20개하나의 쿠키 당 4KB(=4096byte) | 서버가 허용하는 한 용량제한 없음. |
| 속도 | 세션보다 빠름 | 쿠키보다 느림 |
| 보안 | 세션보다 안좋음 | 쿠키보다 좋음 |
🔹 쿠키와 세션은 비슷한 역할을 하며, 동작원리도 비슷하다. 그 이유는 세션도 결국 쿠키를 사용하기 때문이다. 가장 큰 차이점은 사용자의 정보가 저장되는 위치입니다. 때문에 쿠키는 서버의 자원을 전혀 사용하지 않으며, 세션은 서버의 자원을 사용합니다.
보안 면에서 세션이 더 우수하지만 요청 속도는 쿠키가 더 빠르다. 그 이유는 세션은 서버의 처리가 필요하기 때문이다. 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 request에서 스니핑 당할 우려가 있어서 보안에 취약하지만 세션은 쿠키를 이용해서 sessionid 만 저장하고 그것으로 구분해서 서버에서 처리하기 때문에 비교적 보안성이 좋다.
라이프 사이클, 쿠키도 만료시간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다. 또한 만료기간을 넉넉하게 잡아두면 쿠키삭제를 할 때 까지 유지될 수도 있다. 반면에, 세션도 만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제된다. 예를 들어, 크롬에서 다른 탭을 사용하면 세션이 공유되지만 다른 브라우저를 사용하게 되면 사용하던 세션은 종료되고 다른 세션을 사용하게 된다.
📜 결론
🔹쿠키와 세션에 대해서 공부하고 난 이후 질문을 다시 본다면 HTTP의 특징인 Stateless는 매번 요청-응답이 끝나면 연결을 끊어 서버에 클라이언트의 상태를 저장하지 않는다. 이 때문에 이전 요청에서 로그인을 했는지 알 수 있는 방법이 없다. 옛날에는 HTTP로 문서만 주고받았기 때문에 괜찮았지만 현재는 개인마다 동적으로 데이터를 보여줘야 하기에 Stateless 로만 서비스를 제공하기에는 무리가 생기고 그걸 보안하기 위해서 쿠키나 세션을 사용하기 시작했다.
즉, Stateless 만으론 로그인 정보를 저장할 수 없으니 Stateful한 쿠키와 세션을 사용하여 보완한 것이 현재의 HTTP 이다.
📸 참조
'Hub Web > Web' 카테고리의 다른 글
| [Web] REST API에서 JWT를 사용하는 이유 (0) | 2024.04.09 |
|---|---|
| [Web] CORS와 해결 방법 (0) | 2024.04.01 |
| [Web] REST API와 URI 설계 (0) | 2024.03.16 |
