[기초 이론] 4. 쿠키와 세션
이 포스트는 인프런의 반드시 알고 넘어가야 할 웹 기술 기초편 을 보고 작성하였습니다!
-
쿠키 : 지속 쿠키
-
세션 : 세션 쿠키
4-1. 쿠키
- 상태유지및관리, 사용자 인증 수단
-
나의 대한 상태 정보가 유지되기 위해 쿠키를 사용
-
쿠키를 통해 사용자 식별 및 세션 유지를 통해 클라이언트와 서버간의 상태관리
∨ 쿠키 헤더 구조 : 서버에서 클라이언트로 쿠키 발급 시 Set-Cookie 헤더에 의해 쿠키값 세팅
-
해당 사이트에 접근할 때마다, 클라이언트는 Set-Cookie 에 의해 세팅 된 값을 Cookie 헤더에 세팅해 요청메세지 전달
-
서버는 이를 통해 상태를 관리
- 구조
<Set-Cookie 헤더 구조>
Set-Cookie: name=value [; expires=date][; path=path][; domain=domain][; secure]<Cookie 헤더 구조>
Cookie: name1=value1 [; name2=value2][; name3=value3] ......
(1) 쿠키(지속 쿠키)
: 웹 서버에서 발급 시 클라이언트 하드 디스크에 텍스트 형태로 저장.
-
클라이언트 PC사용자는 해당 쿠키 정보를 열람가능하다.
①쿠키 발급 과정
-
예시: 지속 쿠키를 기반으로 로그인 기능을 사용한다.
1) 로그인 요청
2) ID, PW 가 정상값이면 로그인이 된다.
3) Set-Cookie 값이 설정된다.
4) 클라이언트는 해당 사이트에 대한 쿠키 값을 세팅한다.
5) 웹 브라우저는 쿠키 헤더를 통해 쿠키 값을 세팅한다.
6) 서버는 쿠키 헤더를 통해 사용자를 식별한다.
7) DB에서 정보를 뽑아서 출력한다.
② 쿠키 폐기 과정
- 예시: 로그아웃의 경우에 사용한다.
1) 로그아웃 요청
2) 서버가 Set-Cookie 로 응답을 보낼때, 내용에 DELETED를 넣어보낸다.
3) 사용자 PC에 있는 쿠키값을 삭제한다.
③ 문제점
- 쿠키를 폐기하더라도 해당 값을 알고 있으면 재사용이 가능하다.
- 쿠키 값이 평문일 경우 변조의 위협이 있다.
→ 식별 인증 관리 시 암호화 과정을 거쳐야 한다.
④ 개선 방법
- 유효 기간에 따른 폐기방법, 암호화 알고리즘의 적절성을 검토해 쿠키 발급 로직을 구현해야한다.
-
발급 시 고려사항: 유효기간 처리, 양방향 암호화 알고리즘 종류, 비밀키 보관방법
* 쿠키 값을 세팅할 때 복호화를 통해 권한, IP, 사용자를 알 수 있기 때문에 복호화가 가능해야한다.
따라서 양방향 알고리즘을 적용한다. → 키 값이 필요하다.
(2) 세션(세션 쿠키)
: 웹 서버에서 발급 시 클라이언트 웹 브라우저 캐시에 저장
-
정상적으로 로그인 시 서버에 해당 세션에 대한 정보를 저장한다.
-
저장 방법: 메모리, 파일 SYSTEM, 데이터베이스
* 일반적으로 메모리에 저장한다.
-
세션은 암호화, 난독화가 되지 않는다.
⇒ 임의의 문자들이 무작위로 나열되어 공격자 측에서 특정 사용자의 세션을 추측하기 힘들다.
①세션 발급 과정
-
예시: 최초 로그인 시
1) 의미 없는 세션 값이 로그인이라는 기능을 통해 맵핑 정보가 담긴다.
2) 세팅을 해놓으면, Set-Cookie 를 이용해 웹 브라우저에 올리기 위해 PHPSESSID에 세션값을 쓴다.
3) Cookie 헤더를 통해 세션 값을 쓴다.
4) 서버는 찾아 정보를 출력한다.
② 세션 폐기 과정
- 로그아웃 버튼 클릭 시, 서버 세션에 저장된 정보를 없앤다.
⇒ 세션 값을 의미없는 세션이 된다.
∨ 폐기 후 재사용의 문제가 없다.
지속 쿠키는 왜 필요할까?
-
편리성: 지속 쿠키 < 세션 쿠키
-
서버 부하율: 지속 쿠키 < 세션 쿠키
큰 사이트의 경우 많은 세션값이 필요해, 서버에 과부하가 걸린다.
따라서 서버에 부담이 적은 지속 쿠키를 사용한다.