[Web] 세션(Session)과 쿠키(Cookie)

 

https://www.cookieyes.com/blog/session-cookies/

What are session cookies? Do they need consent? - CookieYes

 

 

세션 Session

 

서버 측에서 관리 되는 사용자 상태 정보

사용자가 서버에 접속하면 해당 사용자를 식별하기 위해 고유한 세션 ID를 생성하고, 이 세션 ID를 클라이언트에게 전달한다. 클라이언트는 요청할 때마다 이 세션 ID를 서버에 전달하여 서버가 해당 사용자의 세션 정보를 식별하고 사용할 수 있게 한다.

 

세션(Session)의 주요 특징

 

• 저장 위치 : 세션 데이터는 서버에 저장되고, 클라이언트에게는 세션 ID만 전달
• 용도 : 로그인 상태 유지, 사용자별 데이터 저장 (ex. 장바구니), 일시적인 사용자 상태 저장 등
• 유효 기간 : 세션은 일정기간동안 유지, 사용자가 활동하지 않으면 세션 만료됨
• 크기 제한 : 세션은 서버에 저장되기 때문에 서버의 메모리나 저장 공간에 따라 크기 제한 있음
• 보안 : 세션 데이터는 서버에 저장되기 때문에 클라이언트 측에서 접근 불가, 단 세션 ID가 유출되면 세션 하이재킹 공격이 발생할 수 있기 때문에 세션 ID 관리가 중요함

 

---

 

 

쿠키 Cookie

 

웹 브라우저에 의해 로컬에 저장되는 데이터 파일

서버가 클라이언트에게 쿠키를 설정하고 요청시 브라우저가 해당 쿠키를 다시 서버에 전송

 

쿠키(Cookie)의 주요 특징

 

• 저장 위치 : 쿠키는 클라이언트(사용자의 웹 브라우저)에 저장됨
• 용도 : 로그인 상태 유지, 사용자 맞춤 설정 저장 (ex. 언어, 테마), 사용자 추적 (ex. 광고), 세션 ID 저장 등
• 유효 기간 : 쿠키는 설정된 만료 시간에 따라 일정기간 유지되고 만료기간이 지나면 자동 삭제됨. 브라우저가 종료될 때 삭제되는 세션 쿠키와 특정 기간 동안 유지되는 영구 쿠키가 있음
• 크기 제한 : 도메인 당 약 4KB로 제한됨
• 보안 : 쿠키에는 민감한 정보를 저장하는 것은 위험함. 'Secure' 속성을 사용하면 HTTPS 연결에서만 쿠키가 전송되도록 할 수 있고, 'HttpOnly' 속성을 사용하면 자바스크립트로 접근할 수 없도록 할 수 있음