쿠키와 세션의 차이점

오늘은 쿠키와 세션에 차이를 알아보도록 할게요!

쿠키와 세션의 차이는 공부 하시는 분들도 가끔 헷갈릴 수 있다고 하니

확실히 짚고 넘어가도록 합시다!

---

 

쿠키와 세션은 http 프로토콜의 약점을 커버하기 위해서 존재한다.
http 프로토콜은 Connectionless 하고 Stateless 하는데

Connectionless 란 클라이언트가 request(요청)를 서버에 보내면, 서버는 클라이언트에게 response(대답,응답)하고
서로 접속을 끊는 특성을 말한다.

Stateless 란 접속을 끊는 순간 클라이언트와 서버의 통신은 끝나며, 상태정보는 유지되지 않는 특성을 말한다.

이 두가지 특성때문에 http는 통신을 유지하고 있을 때 낭비되는 리소스를 줄일 수 있지만,
통신을 시도 할 때마다 계속 인증을 해야한다.

이런 문제를 해결하기 위해 쿠키와 세션을 사용하는데

※ 여기서 쿠키란?

쿠키(영어: cookie)란 하이퍼 텍스트의 기록서(HTTP)의 일종으로서 인터넷 사용자가 어떠한 웹사이트를 방문할 경우 
그 사이트가 사용하고 있는 서버를 통해 인터넷 사용자의 컴퓨터에 설치되는 작은 기록 정보 파일을 일컫는다.
 HTTP 쿠키, 웹 쿠키, 브라우저 쿠키라고도 한다.
이 기록 파일에 담긴 정보는 인터넷 사용자가 같은 웹사이트를 방문할 때마다 읽히고 수시로 새로운 정보로 바뀐다.

※ 쿠키의 동작방식은?

 

 웹 서버와 웹 브라우저 간의 상호협력으로 이루어진다.
웹서버가 웹브라우저에게 응답을 할 때 HTTP 프로토콜에 있는 HTTP헤더에 쿠키 정보를 포함 시켜
클라이언트 쪽으로 보낸다. 그리고 웹브라우저에게 웹서버에 존재하는 페이지를 요구할때
그전에 자신이 방문 했을때 해당 페이지에 대해서 웹 서버가 브라우저쪽으로 심어놓은 쿠키를 
웹 서버로 다시 건네주어서 이전에 상태를 웹 서버가 알 수 있다.

- 요약 -

※ 웹서버와 웹 브라우저 간의 상호협력으로 이루어진다.  1) 클라이언트가 브라우저로 웹 페이지에 접속  2) 클라이언트가 요청한 웹페이지를 전송 받음 -> 동시에 쿠키(클라이언트의 상태정보)를 하드에 저장  3) 클라이언트가 재 방문시 웹페이지 요청과 함께 쿠키 값도 전송  4) 지속적으로 로그인 정보를 가지고 있는 것 처럼 사용됨.

※ 세션이란?

세션(Session)이란 일정 시간동안 같은 사용자(정확하게 브라우저를 말한다)로 부터 들어오는 일련의
 요구를 하나의 상태로 보고 그 상태를 일정하게 유지시키는 기술이다. 방문자의 요청에 따른 정보를 
방문자 메모리에 저장하는 것이 아닌 웹 서버가 세션 아이디 파일을 만들어 
서비스가 돌아가고 있는 서버에 저장하는 것이다. 
서버에 저장되기 때문에 사용자 정보가 노출되지 않는다.

즉 사용자가 브라우저를 열어 서버에 접속한 뒤 접속을 종료할 때 시점까지를 말한다.
또한 HTTP 프로토콜 비접속형 프로토콜이므로, 매 접속시마다 새로운 네트워크 연결이 이루어지는데, 세션이 
연결 유지를 가능하게 해준다.

※ 세션의 원리 ?

1) 세션 ID를 서버에서 클라이언트가 다시 웹사이트에 접속시 발급해 준다.
2) 서버에서 클라이언트로 발급해준 세션 ID를 쿠키를 사용해서 저장한다.
3) 클라이언트는 다시 접속시, 이 쿠키를 이용해서 세션 ID값을 서버에 전달한다.


쿠키와 세션은 비슷한 역할을 하며, 동작원리 또한 비슷하다.
가장 큰 차이라고 하면 저장되는 위치를 말할 수 있는데
쿠키는 클라이언트에 저장되어 보내고
세션은 서버에 저장되어서 클라이언트에게 알려준 후 사용한다는 점이 다르다.

쿠키는 서버의 자원을 전혀 사용하지 않고
세션은 서버의 자원을 사용한다는 점에서 성능면으로는 쿠키가 낫다고 할 수 있다.

즉 서버에 요청시 쿠키가 더 빠른 속도를 내며, 서버의 부담이 가지 않는다.
하지만 보안측면에서는 세션이 더 안전하다고 볼 수 있다.

 

---

이제 쿠키와 세션의 차이를 좀 아셨나요!?

그렇다면 다음 글은!

쿠키와 세션을 이용한 공격기법

XSS, CSRF에 대하여 설명드리고 두가지 공격의 차이를 적어서

글을 올려 보도록 할게요!!^^

 

다들 열공하세용~