쿠키와 세션2: 세션
세션이란
- 세션은 쿠키에 기반함. 단, 유저의 정보 파일을 서버에서 관리.
-
서버에서는 클라이언트를 구분하기 위해 세션 ID를 부여함.
웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증 상태 유지.
(접속 시간 제한 가능) -
사용자에 대한 정보를 서버에 두기 때문에 쿠키보다 보안이 좋음.
로그인과 같이 보안상 중요한 작업을 수행할 때 사용. - 서버의 자원을 사용하므로 서버에 부담을 주며,
동접자 수가 많은 경우 과부하를 주어 성능 저하의 요인이 됨.
세션의 동작 방식
- 클라이언트가 서버에 접속 시 세션 ID를 발급 받음
- 클라이언트는 세션 ID에 대해 쿠키를 사용해서 저장하고 있음
- 클라이언트는 서버에 요청할 때, 이 쿠키의 세션 ID를 서버에 같이 전달해서 요청
- 서버는 세션 ID를 전달받아서, 세션에 있는 클라이언트 정보를 가져와서 사용
- 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답
쿠키 VS 세션
-
쿠키와 세션은 비슷한 역할을 하며, 동작원리도 유사.
세션도 결국은 쿠키를 사용하는 방식임. -
가장 큰 차이점은 사용자의 정보가 저장되는 위치.
쿠키는 웹 브라우저, 세션은 서버. - 보안 면에서 세션이 더 우수함.
-
요청 속도는 쿠키가 세션보다 더 빠름. (세션은 서버의 처리가 필요하기 때문)
- 라이프 사이클
- 쿠키는 만료시간이 있지만
파일로 저장되므로 브라우저 종료 후에도 계속 정보가 남아 있을 수 있음 - 세션도 만료시간을 정할 수 있지만 브라우저가 종료되면 만료시간에 상관없이 삭제됨
- 쿠키는 만료시간이 있지만
- 세션은 서버의 자원을 사용하기 때문에 무분별하게 사용하면
서버의 부담이 커질 수 있어 쿠키가 유리한 경우가 존재
결론
쿠키로 노출시켜서는 안 될 정보들이 있고,
세션을 많이 사용하면 서버에 부담을 주기 때문에
쿠키에 저장할 정보와, 세션에 저장할 정보를 구별하고 판단할 수 있어야 한다.