cookie & session

필요성

클라이언트에서 보내는 요청의 한 가지 큰 단점은 누가 요청을 보냈는지 모른다는 것이다. 이 문제는 쿠키와 세션으로 해결할 수 있다.

 

쿠키

서버로부터 쿠키가 오면 웹 브라우저는 쿠키를 저장해두었다가 요청할 때마다 쿠키를 동봉해서 보낸다. 서버는 쿠키를 읽어 사용자를 파악한다. 브라우저는 쿠키가 있다면 자동으로 동봉해서 보내주므로 따로 처리할 필요가 없다. 서버에서 브라우저로 쿠키를 보낼 때만 코드를 작성 해야한다. 개인정보 유출 방지를 위해 쿠키를 주기적으로 지우라는 말이 바로 이러한 이유 때문이다. 쿠키는 요청과 응답의 header에 저장된다. 쿠키는 보안성이 없고 조작될 위험성이 있어 개인정보를 쿠키에 넣어두는 것은 적절하지 못하다.

 

세션

쿠키와 동일하지만 어느정도 암호화를 시키기 때문에 서버에 사용자 정보를 저장하고 클라이언트와는 세션 아이디로만 소통한다. 실제 배포용 서버에서는 DB에 세션을 보관하고 사용한다.