쿠키와 세션이란 무엇일까?

2024. 8. 5. 11:40스프링

2024/08/05

 

 

 

※  쿠키와 세션에 대해 알아보자.

 

[출처] ji5485.github.io

 

   ▶  쿠키와 세션의 공통점

       👉
  쿠키와 세션 모두 HTTP에 상태 정보를 유지(Stateful)하기 위해 사용된다.
              즉, 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가를 할 수 있게 된다. 

   ▶  쿠키와 세션의 차이점

       1.  쿠키
          ●   클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일
          ●   
웹 브라우저(클라이언트)에 저장된 '쿠키 확인하기'
             ○  크롬 브라우저 기준으로 F12 '개발자 도구' 열기
             ○  'Application - Storage - Cookies'에 도메인 별로 저장된 것을 확인 가능


[그림1] 브라우저의 개발자 도구를 통해 쿠키 정보를 확인할 수 있다.


           ●   
구성요소
              ○  Name(이름) : 쿠키를 구별하는 데 사용되는 키(중복될 수 없음)
              ○  Value(값) : 쿠키의 값
              ○  Domain(도메인) : 쿠키가 저장된 도메인
              ○  Path(경로) : 쿠키가 사용되는 경로
              ○  Expires(만료기한) : 쿠키의 만료기한(만료기한이 지나면 삭제됨)

 

       2.  세션
          ● 
 서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용됨
          ●
   서버에서 클라이언트 별로 유일무이한 '세션 ID'를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장
          ●   서버에서 생성한 '세션 ID'는 클라이언트의 쿠키값('세션 쿠키'라고 부름)으로 저장되어 클라이언트 식별에 사용
          ●   세션 동작 방식

[그림2] 서버는 세션 ID를 사용하여 세션을 유지한다.


                      1.  클라이언트가 서버에 1번 요청
                      2.  서버가 세션 ID를 생성하고, 쿠키에 담아 응답 헤더에 전달
                           -  세션 ID 형태: "SESSIONID = 12A345"
                      3.  클라이언트가 쿠키에 세션 ID를 저장 ('세션쿠키')
                      4.  클라이언트가 서버에 2번 요청
                           -  쿠키값 (세션 ID) 포함하여 요청
                      5.  서버가 세션 ID를 확인하고, 1번 요청과 같은 클라이언트임을 인지

   ▶  쿠키와 세션의 비교

  쿠키(Cookie) 세션(Session)
설명 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일 서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용
저장 위치 클라이언트 (웹 브라우져) 웹 서버
사용 예 사이트 팝업의 "오늘 다시보지 않기" 정보 저장 로그인 정보 저장
만료 시점 쿠키 저장 시 만료일시 설정 가능
(브라우져 종료시도 유지 가능)
다음 조건 중 하나가 만족될 경우 만료됨
1. 브라우져 종료 시까지
2. 클라이언트 로그아웃 시까지
3. 서버에 설정한 유지기간까지 해당 클라이언트의 재요청이 없는 경우
용량 제한 브라우져 별로 다름 (크롬 기준)
- 하나의 도메인 당 180개
- 하나의 쿠키 당 4KB(=4096byte)
개수 제한 없음
(단, 세션 저장소 크기 이상 저장 불가능)
보안 취약
(클라이언트에서 쿠키 정보를 쉽게 변경, 삭제 및 가로채기 당할 수 있음)
비교적 안전
(서버에 저장되기 때문에 상대적으로 안전)

 

   ▶  쿠키 사용법

          ●    쿠키 생성

public static void addCookie(String cookieValue, HttpServletResponse res) {
    try {
        cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20"); // Cookie Value 에는 공백이 불가능해서 encoding 진행

        Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue); // Name-Value
        cookie.setPath("/");
        cookie.setMaxAge(30 * 60);

        // Response 객체에 Cookie 추가
        res.addCookie(cookie);
    } catch (UnsupportedEncodingException e) {
        throw new RuntimeException(e.getMessage());
    }
}

              ○  new Cookie(AUTHORIZATION_HEADER, cookieValue); 
                  -  Cookie에 저장될 Name과 Value를 생성자로 받는 Cookie 객체를 생성.
              ○  setPath("/"), setMaxAge(30 * 60) 
                  -  Path와 만료시간을 지정.

              ○  HttpServletResponse 객체에 생성한 Cookie 객체를 추가하여 브라우저로 반환.
                  -  이렇게 반환된 Cookie는 브라우저의 Cookie 저장소에 저장됨.

              ○  Cookie 생성은 범용적으로 사용될 수 있기 때문에 static 메서드로 선언함.

         ●   쿠키 읽기

@GetMapping("/get-cookie")
public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {
    System.out.println("value = " + value);

    return "getCookie : " + value;
}

              ○  @CookieValue("Cookie의 Name") 
                  -  Cookie의0 Name 정보를 전달해주면 해당 정보를 토대로 Cookie의 Value를 가져옴.

 

   ▶  세션 사용법

          ●    Servlet에서는 유일무이한 '세션 ID'를 간편하게 만들 수 있는 HttpSession을 제공함.

          ●    HttpSession 생성

@GetMapping("/create-session")
public String createSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 새로운 세션을 생성한 후 반환
    HttpSession session = req.getSession(true);

    // 세션에 저장될 정보 Name - Value 를 추가합니다.
    session.setAttribute(AUTHORIZATION_HEADER, "Robbie Auth");

    return "createSession";
}

         👉 createSession 
              ○  HttpServletRequest를 사용하여 세션을 생성 및 반환할 수 있음.
              ○  req.getSession(true)
                  -  세션이 존재할 경우 세션을 반환하고 없을 경우 새로운 세션을 생성함.
              ○  세션에 저장할 정보를 Name-Value 형식으로 추가함.
              ○  반환된 세션은 브라우저 Cookie 저장소에 'JSESSIONID'라는 Name으로 Value에 저장됨.

          ●   HttpSession 읽기

@GetMapping("/get-session")
public String getSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 null 반환
    HttpSession session = req.getSession(false);

    String value = (String) session.getAttribute(AUTHORIZATION_HEADER); // 가져온 세션에 저장된 Value 를 Name 을 사용하여 가져옵니다.
    System.out.println("value = " + value);

    return "getSession : " + value;
}

         👉 getSession 
              ○  req.getSession(false)
                  -  세션이 존재할 경우 세션을 반환하고 없을 경우 null을 반환함.
              ○  session.getAttribute("세션에 저장된 정보 Name")
                  -  Name을 사용하여 세션에 저장된 Value를 가져옴.

 

 

 

쿠키와 세션의 차이점을 이해하셨나요?
상황에 따라 어떤 정보를 쿠키와 세션으로 사용할지
앞으로는 헷갈리지 말아요.

 


※ 위 이미지들은 스파르타코딩클럽에 저작권이 있으므로 무단 도용 금지 및 상업 목적으로 사용할 수 없습니다.

'스프링' 카테고리의 다른 글

스프링 - 영속성 컨텍스트란?  (0) 2024.08.13
스프링 - Entity란?  (0) 2024.08.12
스프링 - Spring Data JPA란 무엇일까?  (0) 2024.08.09
스프링 - IoC Container와 Bean  (0) 2024.08.08
스프링 - IoC와 DI의 개념  (0) 2024.08.02