[Frontend] 쿠키, 세션, 웹 스토리지 차이점

http 프로토콜의 한계를 보안하기 위해 쿠키 또는 세션을 사용한다.

기본적으로 HTTP 프로토콜 환경은 비연결지향(connectionless), 무상태(stateless)한 특성을 가지기 때문에 요청만으로 서버는 클라이언트를 구별할 수 없다.

비연결성지향(connectionless)

• HTTP는 먼저 클라이언트가 요청을 서버에 보내면, 서버는 클라이언트에게 요청에 맞는 응답을 보내고 TCP/IP 연결을 끊는 특성이다.
• HTTP 1.1에서는 헤더에 keep-alive라는 값을 줘서 커넥션을 재활용한다.

무상태(stateless)

• 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보를 유지하지 않는 특성이다.

쿠키

클라이언트(브라우저) 로컬에 저장되는 키와 값이 들어있는 작은 데이터 파일. HTTP에서 클라이언트의 상태 정보를 클라이언트의 PC에 저장하였다가 필요시 정보를 저장하거나 재사용할 수 있다.

• 쿠키는 만료 기한이 있는 키-값 저장소!
• 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지됨.
• 클라이언트에 300개까지 쿠키저장 가능, 하나의 도메인당 20개의 값만 가질 수 있으며, 하나의 쿠키값은 4KB까지 저장 가능
• 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 Request 시에 Request Header를 넣어서 자동으로 서버에 전송한다.

[ 쿠키의 동작 순서 ]

1. 클라이언트가 페이지를 요청한다(사용자가 웹사이트 접근)

2. 웹 서버가 HTTP 응답시 set-cookie를 통해 쿠키를 생성하여 전달한다.

3. 넘겨 받은 쿠키는 클라이언트가 가지고 있다가(로컬 PC에 저장) 다시 서버에 HTTP 요청할 때 요청과 함께 쿠키를 전송한다.

4. 동일 사이트 재방문시 클라이언트의 PC에 해당 쿠키가 있는 경우, 요청 페이지와 함께 쿠키를 전송한다.

[ 쿠키의 사용 예시 ]

1. 방문했던 사이트에 다시 방문했을 때 아이디와 비밀번호 자동 입력

2. 팝업창을 통해 "오늘 이 창을 다시 보지 않기" 체크

세션

• 사용자 정보를 파일 브라우저에 저장하는 쿠키와 달리 세션은 서버 측에서 관리한다.
• 서버에서 클라이언트를 구분하기 위해 세션 ID를 부여하며, 웹 브라우저가 서버에 접속해서 브라우저를 종료할 때까지 인증상태를 유지한다.
• 접속 시간에 제한을 두어 일정 시간 응답이 없다면 정보가 유지되지 않게 설정 가능하다.
• 데이터를 서버에 두기 때문에 쿠키보다 보안에 좋지만, 사용자가 많아질수록 서버 메모리를 많이 차지하게 된다.

[ 세션 동작 순서 ]

1. 클라이언트가 페이지를 요청한다(사용자가 웹사이트 접근)

2. 서버는 접근한 클라이언트의 Request-Header 필드인 쿠키를 확인하여, 클라이언트가 해당 세션 id를 보냈는지 확인한다.

3. 세션 id가 존재하지 않다면 세선 id를 생성해서 보내준다.

4. 서버에서 클라이언트로 돌려준 세션 id를 쿠키를 사용해 서버에 저장한다.

5. 클라이언트는 재접속 시, 이 쿠키를 이용해 세션 id값을 서버에 전달한다.

 

[ 세션 사용 예시 ]

화면이 이동해서 로그인이 풀리지 않고 로그아웃하기 전까지 유지

[ 쿠키와 세션 간단 비교 ]

• 데이터 저장위치: 쿠키는 클라이언트, 세션은 서버
• 보안: 저장위치 때문에 쿠키는 스니핑에 당할 우려가 있지만, 세션은 쿠키를 이용해 세션 아이디만 저장하고 서버에서 처리하기때문에 보안성은 쿠키<세션
• 라이프 사이클; 쿠키는 브라우저를 종료해도 만료기간이 남아있으면 존재, 세션은 브라우저 종료 시 만료기간에 상관없이 종료
• 속도; 쿠키>세션

웹 스토리지(Web Storage)

클라이언트에 데이터를 저장할 수 있도록 HTML5부터 추가된 저장소. 

• 간단한 Key-Value 스토리지 형태
• 로컬 스토리지(Local Storage)와 세션 스토리지(Session Storage)가 있으며, 이들은 window객체의 프로퍼티로서 존재하며, 같은 Storage 객체를 상속하기 때문에 메서드가 동일
• 쿠키와 달리 자동 전송의 위험성이 없음
• 오리진(Origin)(도메인,프로토콜,포트) 단위로 접근이 제한되는 특성 덕분에 CSRF로 부터 안전
• XSS로부터 위험 - local storage에 접근하는 js코드로 쉽게 접근 가능
• 쿠키보다 큰 저쟝 용량 지원(모바일 2.5MB, 데스크탑 5~10MB)
• 서버가 HTTP 헤더를 통해 스토리지 객체를 조작할 수 없음(웹 스토리지 객체 조작은 JavaScript 내에서만 수행)
• 문자열 외에도 자바스크립트의 모든 원시형 데이터와 객체 저장 가

[ 로컬 스토리지(Local Storage) ]

• 사용자가 데이터를 지우지 않는 이상, 브라우저나 OS를 종료해도 계속 브라우저에 남아있음 (영구성)
• 단, 동일한 브라우저를 사용할 때만 해당
• 지속적으로 필요한 데이터 저장(자동 로그인 등)

[ 세션 스토리지(Session Storage) ]

• 데이터가 탭/윈도우 단위로 세션 스토리지가 생성된다. 즉 window 객체와 동일한 유효 범위 및 생존 기간을 가지며, 탭/윈도우를 닫을 시 데이터가 삭제된다.
• 일시적으로 필요한 데이터 저장(일회성 로그인 정보, 입력폼 저장, 비로그인 장바구니 등)