Cookie, Session에 대하여

 

📌 Cookie와 Session의 등장 배경?

HTTP(Hyper Text Transfer Protocol)는 클라이언트와 서버가 서로 통신하는 방법을 표준화하는 TCP/IP 기반 애플리케이션 계층 통신 프로토콜로, 요청과 응답을 기반으로 작동한다. 그러나 이 프로토콜은 Stateless 특성을 가지고 있어, 한 번의 요청이 끝나면 서버는 클라이언트의 이전 상태를 알지 못한다. 이러한 특성 때문에 여러 가지 불편함이 발생할 수 있다. 예를 들어, 로그인한 사용자가 다른 페이지로 이동할 때마다 매번 로그인 정보를 다시 입력해야 한다면 굉장히 번거로울 것이다. 이와 같은 문제를 해결하기 위해 등장한 개념이 쿠키(Cookie)와 세션(Session)이다.

 

📌 Cookie란?

쿠키는 HTTP 프로토콜을 이용한 웹 기술 중 하나로, HTTP 프로토콜을 사용하는 웹사이트가 클라이언트 측(사용자 컴퓨터)에 저장하는 작은 데이터 파일이다. 웹사이트가 클라이언트에게 쿠키를 전송하면, 해당 정보는 사용자의 컴퓨터에 저장되고, 이후 클라이언트가 같은 웹사이트에 접근할 때마다 쿠키 정보를 서버에 자동으로 전송하게 된다. 이를 통해 서버는 사용자의 상태나 이전 방문 기록 등을 기억할 수 있다. Cookie는 HTTP 요청과 응답에서 Header를 통해 전달된다.

Cookie 동작 방식 (출처: https://btcd.tistory.com/40)

 

📌 Session이란?

세션은 HTTP 프로토콜을 이용한 웹 기술 중 하나로, 사용자의 상태 정보를 서버에 저장하고 관리하는 기술이다. 서버는 사용자가 웹사이트에 접속할 때 고유한 Session ID를 생성하고, 생성한 Session ID는 일반적으로 쿠키에 담아 클라이언트에게 전달한다. 클라이언트가 다시 서버에 요청을 보낼 때마다 세션 ID를 함께 전송하면, 서버는 이 Session ID를 통해 사용자가 누구인지 식별하고, 서버에 저장된 상태 정보를 반환한다. 이렇게 서버 측에서 상태를 관리하기 때문에, 쿠키보다 보안성이 더 높다고 할 수 있다.

Session 동작 방식 (출처: https://btcd.tistory.com/40)

 

📌 Cookie vs Session

📝 공통점

 • 🔒 사용자 인증과 상태 유지를 위한 개념

  ~> 둘 다 사용자의 인증을 유지하고, 사용자가 웹사이트에서의 활동 상태를 추적하는 데 사용

 • 🌐 HTTP 프로토콜 사용

  ~> 둘 다 HTTP 프로토콜을 사용하여 서버와 클라이언트 간에 정보를 주고받는 방식

 • 🍪 쿠키 사용

  ~> 둘 다 쿠키를 사용하지만, 쿠키 내부에 저장되는 정보가 다름

  ~> 세션은 Session ID만 쿠키에 저장하고, 쿠키는 사용자 정보 전부를 쿠키에 저장

 •  📡 클라이언트와 서버 간 데이터 전송

  ~> 사용자의 정보를 저장하고 이를 서버에 전달하는 역할

 

📝 차이점

 1. 저장 위치

  • 🍪 쿠키 (사용자의 PC에 저장 / 저장 위치는 브라우저마다 다름)

  • 💾 세션 (서버에 저장 / 클라이언트는 세션 ID만을 가지며, 실제 세션 정보는 서버에서 관리)

 2. 만료일

  • 🍪 쿠키 (설정된 만료 시간까지 유지 가능 / 사용자가 직접 삭제도 가능)

  • 💾 세션 (기본적으로 브라우저 종료 시 삭제 / 서버 설정을 통해 세션 유지 시간 연장 가능)

 3. 보안성

  • 🍪 쿠키 (사용자 PC에 저장되므로 탈취 위험이 큼(예: XSS 공격, 쿠키 변조 등))

  • 💾 세션 (서버에서 관리되므로 쿠키보다 보안성이 더 높음)

 4. 용량 제한

  • 🍪 쿠키 (일반적으로 4KB로 제한)

  • 💾 세션 (서버 저장 방식에 따라 용량 제한이 다름 / 쿠키보다 용량 제한은 덜하지만, 그만큼 서버의 리소스를 사용)

 

 

+ 출처

https://dev-coco.tistory.com/61

https://btcd.tistory.com/40