[Web] 쿠키와 세션

오늘은 쿠키와 세션의 개념, 동작 방식에 대해 간단히 정리했다.

 

📎 쿠키와 세션

쿠키와 세션은 HTTP protocol의 약점 보완을 위해 사용한다.

 

HTTP protocol의 특징

1. Connectionless 프로토콜
   클라이언트가 서버에 요청했을 때, 그 요청에 맞는 응답을 보낸 후 연결을 끊는 처리방식
2. Stateless 프로토콜
   커넥션을 끊는 순간 클라이언트와 서버의 통신이 끝나며, 상태 정보를 유지하지 않음

👉 client와 server가 연결 상태를 유지해야 하는 경우 문제 발생 (로그인 정보 등)

👉 client 단위로 상태 정보를 유지해야 하는 경우 쿠키와 세션이 필요함

---

📎 쿠키

쿠키의 개념과 특징

• 클라이언트 로컬에 저장되는 Key-Value  쌍의 데이터 파일 (String 형태)
• 사용자가 별도로 요청하지 않아도 브라우저는 request 시 Request Header를 넣어 자동으로 전송
• 브라우저마다 저장되는 쿠키는 다름 (서버에서는 브라우저가 다르면 다른 사용자로 인식)

 

쿠키의 사용 목적

• 세션 관리 : 사용자 아이디, 접속 시간, 장바구니 등 서버가 알아야 할 정보 저장
• 개인화 : 사용자마다 다르게 그 사람에 적절한 페이지 보여줄 수 있음
• 트래킹 : 새용자의 행동과 패턴을 분석하고 기록

 

쿠키 사용 예시

• ID 저장 (자동 로그인)
• 일주일간 다시 보지 않기
• 최근 검색한 상품들을 광고에 추천
• 쇼핑몰 장바구니

 

쿠키의 구성 요소

• 이름 : 여러 개의 쿠키가 client 컴퓨터에 저장되므로, 각 쿠키를 구별하는데 사용
• 값 : 쿠키의 이름과 매핑되는 값
• 유효 기간 : 쿠키의 유효 기간
• 도메인 : 쿠키를 전송할 도메인
• 경로 : 쿠키를 전송할 요청 경로

 

쿠키의 동작 방식

1. Client가 Server에 페이지 요청
2. Server는 클라이언트의 요청의 유효성 검사 (id, password 검사 등) 후 Cookie를 생성
3. HTTP Header에 Cookie를 넣어 응답
4. Browser는 받은 Cookie를 PC에 저장, 다시 Server에 요청할 때 요청과 함께 Cookie 전송
5. Browser가 종료되어도 Cookie의 유효 기간이 남아있다면 Client는 계속 보관
6. 동일 사이트 재방문 시 Client의 PC에 해당 Cookie가 있는 경우, 요청 페이지와 함께 Cookie 전송

 

Cookie 주요 기능

기능	method
생성	Cookie cookie = new Cookie(String name, String value);
값 변경 / 얻기	cookie.setValue(String value); String value = cookie.getValue();
사용자 도메인 지정 / 얻기	cookie.setDomain(String domain); String value = cookie.getDomain();
값 범위 지정 / 얻기	cookie.setPath(String path); String path = cookie.getPath();
cookie 유효 기간 지정 / 얻기	cookie.setMaxAge(int expiry); Int expiry = cookie.getMaxAge(); cookie.setMaxAge(0); // 유효 기간을 0으로 설정하면 쿠키 삭제 가능
생성된 cookie를 client에 전송	response.addCookie(cookie);
client에 저장된 cookie 얻기	Cookie cookies[] = request.getCookies();

---

📎 세션

세션의 개념과 특징

• 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고, 그것을 세션이라고 함
• WAS의 memory에 Object 형태로 저장됨
• memory가 허용하는 용량까지 제한 없이 저장 가능
• 브라우저를 닫거나 서버에서 세션을 삭제했을 때만 삭제되므로, 쿠키보다 보안이 좋다.
• 각 클라이언트에 고유 session-id를 부여하고, 클라이언트를 구분하여 요구에 맞는 서비스를 제공함

 

세션 사용 예시

• site 내에서 화면을 이동해도 로그인(사용자 정보)이 유지
• 장바구니

 

세션 동작 방식

1. Client가 Server에 페이지 요청
2. Server는 접근한 Client의 Request Header 필드인 Cookie를 확인하고,
   Client가 해당 session-id를 보냈는지 확인
3. session-id가 존재하지 않는다면, Server는 session-id를 생성해 Client에게 줌
4. Server에서 Client로 준 session-id를 쿠키를 사용해 서버에 저장함 (쿠키 이름: JSESSIONID)
5. Client는 재접속 시, 이 JSESSIONID를 이용해서 session-id 값을 Server에 전달함

 

HttpSession 주요 기능

기능	method
생성	HttpSession session = request.getSession(); HttpSession session = request.getSession(false);
값 저장	session.serAttribute(String name, Object value);
값 얻기	Object obj = session.getAttribute(String name);
값 제거	session.removeAttribute(String name); // 특정 이름의 속성 제거 session.invalidate(); // 바인딩되어있는 모든 속성 제거
생성 시간	long ct = session.getCreationTime();
마지막 접근 시간	long lat = session.getLastAccessedTime();

---

📎 쿠키와 세션 정리

	Cookie	Session
type	javax.servlet.http.Cookie (Class)	javax.servlet.http.HttpSession (Interface)
저장 위치	Client 컴퓨터에 file로 저장	Server의 memory에 Object로 저장
저장 형식	file에 저장되기 때문에 String 형태만 가능	Object는 모두 가능 (일반적으로 Dto, List 등)
사용 예시	최근 본 상품 목록, 아이디 저장, 그만 보기 등	로그인 시 사용자 정보, 장바구니 등
용량 제한	도메인당 20개, 1쿠키당 4KB	제한 없음 (WAS memory 허용까지)
만료 시점	쿠키 저장 시 설정 (설정 없으면 브라우저 종료 시 만료)	알 수 없음 (Client가 로그아웃 하거나, 일정 시간 동안 session에 접근하지 않을 경우 만료) 👉 쿠키와는 다르게, 처음 만든 시간부터 유효 기간을 정하지 않고, 사용자의 마지막 접근 시간으로부터 시간을 측정함 (web.xml에서 설정)
공통점	전역에 저장하기 때문에 project 내의 모든 JSP에서 사용이 가능함 Map 형식으로 관리하기 때문에 key 값의 중복을 허용하지 않음

 

쿠키과 세션의 적절한 사용 방법

세션이 쿠키에 비해 보안이 높은 편이나, 세션은 서버에 저장되며 서버의 자원을 사용하기 때문에

서버 자원에 한계가 있고, 속도가 느려질 수 있다.

👉 자원 관리 차원에서 쿠키와 세션을 적절한 요소 및 기능에 병행 사용하여 서버 자원의 낭비를 줄일 수 있다.