cookie와 session

cookie와 session

 HTTP는 비상태성(Stateless) 프로토콜로 상태 정보를 유지하지 않는다. 연결을 유지하지 않기 때문에 리소스 낭비가 줄어드는 것은 큰 장점이지만 통신할 때마다 매번 연결 설정을 해야 하며, 이전 요청과 현재 요청이 같은 사용자의 요청인지 알 수 없다는 단점이 존재한다.

 

쿠키와 세션을 통해서 HTTP의 Stateless한 문제점을 해결할 수 있다.

 

---

cookie와 session 비교

[저장 위치]

• 쿠키 : 클라인어트의 웹 브라우저가 지정하는 메모리 or 하드 디스크
• 세션 : 서버의 메모리

[만료 시점]

• 쿠키 : 저장할 때, expires 속성을 정의하여 무효화시키면 삭제될 날짜를 지정할 수 있다.
• 세션 : 클라이언트가 로그아웃하거나 설정 시간 동안 반응이 없으면 무효화되기 때문에 정확한 시점을 알 수 없다.

[리소스]

• 쿠키 : 클라이언트에 저장되고 클라이언트의 메모리를 사용하기 때문에 서버 자원을 사용하지 않는다.
• 세션 : 서버에 저장되고, 서버 메모리로 로딩되기 때문에 세션이 생길 때마다 리소스를 차지한다.

[용량 제한]

• 쿠키 : 클라이언트도 모르게 접속되는 사이트에 의하여 설정될 수 있기 때문에 쿠키로 인해 문제가 발생하는 걸 막고자 한 도메인당 20개, 하나의 쿠키당 4KB로 제한해 두었다.
• 세션 : 클라이언트가 접속하면 서버에 의해 생성되므로 개수나 용량 제한이 없다.

[보안]

• 쿠키 : 클라이언트에 저장하기 때문에 보안에 취약하다.
• 세션 : 서버에 저장하기 때문에 쿠키에 비해서는 보안에 우수하다.