[WEB] 세션 VS 쿠키 차이점

HTTP 는 클라이언트가 누구인지 매번 확인해야하는 특성을 보완하기 위해 쿠키와 세션을 사용한다.

 

쿠키(Cookie)

[정의 및 특징]

• 클라이언트(브라우저/개인 컴퓨터)로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일
• 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지
• 클라이언트 상태정보를 로컬(브라우저)에 저장 후 참조
• 사용자가 따로 요청하지 않아도 브라우저가 Request 시에 Request Header를 넣어 자동으로 서버에 전송

[동작 방식]

https://btcd.tistory.com/40

1. 클라이언트가 페이지를 요청
2. 서버에서 쿠키 생성
3. HTTP 헤더에 쿠키를 포함시켜 Response
4. 브라우저가 종료되어도 쿠키 만료 기간이 있다면 클라이언트에서 보관
5. 같은 요청을 할 경우 HTTP 헤더에 쿠키를 함께 보냄

* 서버에서 쿠키를 읽어 이전 상태 정보를 변경할 필요가 있을 때 쿠키를 업데이트하여 변경된 쿠키를 HTTP 헤더에 포함시켜 응답

 

[예시]

• 로그인 시 '아이디와 비밀번호를 저장하시겠습니까?' 메세지
• 쇼핑몰 장바구니 기능

---

세션(Session)

[정의 및 특징]

• 쿠키를 기반으로 하고 있지만, 사용자 정보 파일을 브라우저에 저장하는 쿠키와 달리 서버 측에서 관리
• 서버에서는 클라이언트를 구분하기 위해 세션ID를 부여하여 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태 유지
• 사용자에 대한 정보를 서버에 두기 때문에 쿠키보다 보안에 좋지만 사용자가 많아질 수록 서버 메모리를 많이 차지해 성능저하 발생 가능성 ↑

[동작 방식]

1. 클라이언트가 서버에 접속 시 세션ID를 발급 받음
2. 클라이언트는 세션ID에 대해 쿠키를 사용해서 저장하고 가지고 있음
3. 클라이언트는 서버에 요청할 때, 이 쿠키의 세션ID를 같이 서버에 전달해서 요청
4. 서버는 세션ID를 전달 받아서 별다른 작업없이 세션ID로 세션에 있는 클라이언트 정보를 가져와 사용
5. 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답

[예시]

• 로그인 같이 보안 상 중요 작업을 수행할 때 사용

---

쿠키와 세션의 차이점

*쿠키는 서버의 자원을 전혀 사용하지 않으며, 세션은 서버의 자원을 사용한다. 즉 상태정보의 저장 위치가 다르다.

https://velog.io/@tjtjtjtj0123/%EC%BF%A0%ED%82%A4%EC%99%80-%EC%84%B8%EC%85%98%EC%9D%98-%EC%B0%A8%EC%9D%B4

 

1. 보안

• 쿠키는 클라이언트 로컬에 저장되기 때문에 변질되거나 request에서 스니핑 당할 우려가 있어 보안에 취약
• 세션은 쿠키를 이용해서 세션ID만 저장하고 그것으로 구분해서 서버에서 처리하기 때문에 비교적 보안성이 좋음

2. 라이프 사이클

• 쿠키도 만료시간이 있지만 파일로 저장되기 때문에 브라우저를 종료해도 계속해서 정보가 남아 있을 수 있다.
• 세션도 만료기간을 정할 수 있지만 브라우저가 종료되는 만료시간에 상관없이 삭제
  -> 크롬에서 다른 탭을 사용해도 세션은 공유된다. 다른 브라우저를 사용하게 되면 다른 세션을 사용할 수 있다. 

3. 속도

• 쿠키에 정보가 있기 때문에 서버에 요청시 속도가 빠름
• 세션은 정보가 서버에 있기 때문에 처리가 요구되어 비교적 속도가 느림

※ 쿠키 사용 이유?
세션은 서버의 자원을 사용하기 때문에 무분별하게 만들다 보면 서버의 메모리가 감당할 수 없어질 수 있고 속도가 느려질 수 있기 때문에, 쿠키의 사용이 유리한 경우가 있음

---

참고자료: https://btcd.tistory.com/40

세션 vs 쿠키 vs 캐시 차이점