[Web]Cookie / Session

BackEnd🧵

[Web]Cookie / Session

hae02y 2023. 7. 19. 21:23

Cookie

쿠키는 서버에서 클라이언트에 데이터를 저장하는 방법중의 하나이다. HTTP의 경우 사용자의 정보를 저장할수없다. 즉 웹사이트는 사용자를 구별할수 없고, 사용자는 매번 인증절차를 진행해야한다.(HTTP프로토콜의 Connectionless, Stateless함 때문에) 하지만 쿠키를 통해 사용자의 정보를 기억할수있게 하고 이것이 쿠키를 사용하는 이유이다.

Cookie의 옵션

1. Domain

도메인은 www.naver.com과 과 같이 서버에 접속할수있는 주소를 말한다. 만약 요청해야할 URL이 http://www.example.com:3000/users/login 이라면 여기에서 도메인은 example.com이 된다. 쿠키옵션에 도메인 정보가 존재하면 클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야지만 쿠키를 전송 가능하다.

2. Path

세부경로는 서버가 라우팅시에 사용하는 경로이다. 요청하는 URL이 http://www.example.com:3000/users/login 일때 여기에서 Path는 /users/login이 된다. 명시가 없다면 기본적으로 / 으로 설정된다.Path의 특징은 설정된 Path를 전부 만족하면, 요청하는 Path가 추가로 존재하더라도 쿠키를 서버로 전송할수 있다.

예를들어

Path : /users 로 설정되어 있다면, 요청경로가 /users/something 인경우에도 쿠키전송이 가능하다. 왜냐하면 /users를 만족하기 때문이다.

3. MaxAge or Expires

쿠키가 유효한 유효기간을 정하는 옵션이다.

MaxAge는 앞으로 쿠키가 몇초동안 유효한지 설정하는 옵션이다. Expires는 언제까지 유효한지 Date를 지정한다.

기준은 클라이언트의 시간으 기준으로 하고, 지정된 시간과 날짜를 초과하면 쿠키는 자동으로 파괴된다. 이옵션의 여부에 따라서 Session Cookie와 Persistent Cookie로 나눈다.

Session Cookie : MaxAge / Expires 옵션이 없는 쿠키, 브라우저가 실행중일때 사용할수있는 임시 쿠키이며 브라우저를 종료하면 쿠키가 삭제된다.

Persistent Cookie : 브라우저의 종료 여부와 상관없이 MaxAge / Expires에 지정된 유효시간만큼 사용이 가능한 쿠키이다.

4. Secure

쿠키전송시에 사용하는 프로토콜에 따라 쿠키 전송여부를 결정한다. Secure옵션이 true일때는 HTTPS 프로토콜을 이용한 경우에만 쿠키전송이 가능하다. Secure이 false일때는 Https, Http 모두 쿠키전송이 가능하다.

5. HttpOnly

자바스크립트에서 브라우저의 쿠키에 접근여부를 결정한다. 옵션이 true일 경우, 자바스크립트에서 쿠키에 접근이 불가능하다. 디폴트는 false로 지정되어있고, 해당옵션이 false인경우 XSS공격에 취약해진다.

6. SameSite

Cross-Site요청을 받는경우, 요청에서 사용한 메서드와 해당옵션의 조합을 기준으로 서버의 쿠키 전송 여부를 결정한다.

결론

쿠키의 특성을 이용하여 서버는 클라이언트에게 인증정보를 담은 쿠키를 전송하고, 쿠키는 전달받은 쿠키를 요청과 같이 전송하여 Stateless 한 인터넷을 Stateful하게 유지 가능하다. 하지만 쿠키에 민감한 정보를 담는것은 위험하다.

Session

세션은 쿠키를 기반으로 하고 있지만, 정보를 브라우저(클라이언트)가 아닌 서버에서 관리한다. 정보를 서버에서 관리하기때문에 보안성이 높지만, 사용자가 많아지면 서버 메모리를 많이 차지하여 성능저하의 원인이 될수있다.

세션의 동작

1. 클라이언트에서 서버에 접속 하면 세션ID를 발급 받는다.

2. 클라이언트는 세션ID에 대해 쿠키를 사용해서 저장하고 가지고 있는다.

3. 클라이언트는 서버에 요청을 할때, 쿠키의 세션 ID를 같이 서버에 전달해서 요청한다.

4. 서버는 세션ID를 전달 받아서 별다른 작업없이 세션 ID로 세션에 있는 클라이언트 정보를 가져와서 사용한다.

5. 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답한다.

결론

쿠키와 세션은 비슷한 역할을 한다. 차이점은 사용자의 정보가 저장되는 위치인데, 쿠키는 서버의 자원을 사용하지 않고, 세션은 서버의 자원을 사용한다. 이러한 점 때문에 쿠키에 비해 세션이 보안성이 높은 장점이 있지만, 서버의 자원을 사용하므로 서버의 성능이 저하될수있다. 이러한 문제를 보완한것이 토큰기반의 인증방식(JWT 등..)의 대안이 나와서 사용되게 되었다.

참조

https://interconnection.tistory.com/74

https://raonctf.com/essential/study/web/session_connection

저작자표시 비영리 변경금지

현재글[Web]Cookie / Session

fee-fi-fo-fum

[2024.08.]블로그 이사중...

Java, 도커, oracle, pyinstaller 설치, docker, PostgreSQL, 회고, sqld, 정보처리기사 실기, Spring, 독서, 다이나믹프로그래밍, mapper, 백준, codestates, mysql 설정, 코드스테이츠, error, Stream, Til,

Today :
Yesterday :

일	월	화	수	목	금	토
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

fee-fi-fo-fum