#15 JSP 쿠키와 세션

# 웹 Cookie

HTTP Cookie 는 서버가 사용자의 웹 브라우저의 전송하는 (혹은 웹 브라우저에서 생성해낸) 작은 데이터이다. 웹 브라우저가 보관하고 있으며 웹 서버에 요청을 보낼 때 쿠키를 헤더에 담아 보낼 수도 있다.

무상태성을 유지하는 HTTP 통신에서 상태 정보를 저장하여 아래와 같은 기능을 제공할 수 있다.

• 세션관리 (Session management) - 서버에 저장해야 할 로그인, 장바구니, 게임 스코어등의 정보
• 개인화 (Personalization) - 사용자 선호, 테마등의 세팅값을 저장
• 트래킹 (Tracking) - 사용자의 행동을 기록하고 분석하여 데이터로 사용. (=서드파티 쿠키를 이용한 구글광고)

HTTP 메시지중 Header부분에 쿠키를 포함하여 전송할 수 있다.

참고로 Chrome 브라우저에서 쿠키를 단계적으로 지원을 종료할 예정이다. 이는 개인정보 유출과 보안의 중요성이 부각되며 다른사이트의 쿠키를 가져와 사용하는 [third-party cookie]에 안좋은 인식이 생겼기 때문이다. 다만 쿠키를 없애버리면 웹 브라우저의 사용자 맞춤형 광고가 불가능하기에 이제 쿠키 대신 머신러닝을 이용하여 사용자를 군집화하는 플록(FloC)이라는 기술을 제공할 예정이라고 한다.

---

# Cookie에 저장되는 정보

클라이언트 로컬에 저장되는 Key, Value 값으로 HTTP Response Header에 Set-Cookie 속성을 이용하여 쿠키를 저장할 수 있다. 쿠키에는 이름, 값, 만료 날짜/시간 (쿠키의 저장기간), 경로정보등을 담을 수 있다.

쿠키는 기본적으로 클라이언트의 상태 정보를 로컬에 저장하고있다가 요청(Request)할 때 참조된다. 메서드 삭제기능은 따로 제공하지않고, 지정된 만료 날짜/시간을 통해 쿠키를 일정시간만 유지 시킬 수 있다.

 

• 쿠키 프로세스
  1. 브라우저에서 웹페이지에 접속한다.
  2. 클라이언트가 요청한 웹페이지를 응답으로 받으면서 HTTP 헤더를 통해 해당 서버에서 제공하는 쿠키 값을 응답으로 준다. (이러면 클라이언트는 해당 쿠키를 저장한다.)
  3. 클라이언트가 웹페이지를 요청한 서버에 재 요청시 받았던 쿠키 정보도 같이 HTTP 헤더에 담아서 요청한다.
  4. 서버는 클라이언트의 요청(Request)에서 쿠키 값을 참고하여 비즈니스 로직을 수행한다.
• 쿠키 사용 사례
  • 자동로그인, 팝업에서 "오늘 더 이상 이 창을 보지 않음" 체크, 쇼핑몰의 장바구니, ...
• 쿠키의 한계 
  • 클라이언트에 최대 300개 까지 쿠키를 저장할 수 있다.
  • 서버 도메인 하나당 최대 20개의 쿠키를 저장할 수 있다.
  • 하나의 쿠키 값은 최대 4KB까지 저장할 수 있다.

 

 

---

# 세션쿠키(Session)와 지속쿠키(Persistent)

만료 날짜/시간을 지정하지 않으면 브라우저가 실행중일 때 (=메모리에 적재되어 있을 때)만 유효하다고 판단하여 세션쿠키에 저장된다. 이는 브라우저가 종료되면 함께 메모리에서 삭제된다.

반대로 만료 시간이 지정되어있다면 브라우저 프로세스가 종료되더라도 유지되도록 로컬에 저장된다. 그래서 탈취, 변조될 위험이 있어 보안상 취약하다.

 

참고로 크롬의 쿠키의 기본 저장경로는 다음과 같으며 필요하다면 브라우저 설정에서 직접 쿠키를 삭제할 수있다..

Chrome
C:\Users\<yourusername>\AppData\Local\Google\Chrome\User Data\Default\Local

IE
<yourusername>\AppData\Roaming\Microsoft\Windows\Cookies

 

---

# 사용방법

1) 쿠키를 생성하고 response객체에 담는다.

Cookie cookie = new Cookie( "cookieName" , "cookieValue" );
response.addCookie( cookie );

2) 페이지가 이동되면 쿠키는 헤더에 포함되어 다른 페이지에 전송된다.

Cookie[] cookies = request.getCookies(); // 쿠키배열을 반환하고 쿠키가 없으면 null을반환한다

3) 받은 쿠키배열을 이용하면 된다.
참고로 쿠키값을 수정할 수는 있으나 삭제하는 기능은 따로 제공하지않는다. 삭제가 필요하다면 쿠키의 유효시간을 0으로 수정하면 된다.

Cookie[] cookies = request.getCookies(); // request 객체에서 쿠키를 받아옴

for ( int i = 0 ; i < cookies.length ; i++){ // 받아온 쿠키들을 순회
    // 쿠키 수정 (덮어 씌우기)
    if ( cookies[i].getName.equals( "NAME" ) ){ // 쿠키이름이 NAME인 쿠키 검색
        Cookie cookie = new Cookie( "NAME" , "변경할값" ); // 수정할 때에는 새로운 쿠키를 만들어 덮어씌운다.
        response.addCookie( cookie ); // 새로운 쿠키를 추가한다. (헤더에 저장됨)
    }
    // 수정을 응용한 쿠키 삭제. Cookie 객체에서 제공하는 삭제기능은 따로 없다.
    if ( cookies[i].getName().equals("DELETE_NAME") ){
        Cookie cookie = new Cookie( "DELETE_NAME" , "아무값" );
        cookie.setMaxAge( 0 ); // 쿠키 유효 시간을 0으로 한 후
        response.addCookie( cookie ); // 헤더에 쿠키 추가
}

 

---

# JSP에서의 쿠키

<%
Cookie cookie = new Cookie("NAME","value");
response.addCookie(cookie);
%>
...
<body>
    <a href="bPage.jsp">이동</a>
</body>

// bPage.jsp

<%
  String name = "";
  String value = "";
  String cook = request.getHeader("Cookie");

  if ( cook != null ){
      Cookie[] cookies = request.getCookies();

      for( int i = 0 ; i< cookies.length ; i++){
          if( cookies[i].getName().equals("NAME") ){
              name = cookies[i].getName();
              value = cookies[i].getValue();
          }
      }
  }
%>
...
<body>
쿠키 명 : <%=name%> 
쿠키 값 : <%=value%>
</body>

 

---

# Session

세션이란 이름 그대로 일정시간동안 사용자(=브라우저)의 상태를 유지시키는 기술을 의미한다. 실제로 실시간으로 연결하여 계속 확인하는게 아니라 웹 서버가 세션 아이디 파일을 만들어 서버에 유저정보를 저장하여 논리적인 연결 상태를 유지시키는 거라고 이해하면 된다.

 

세션을 유지시키는 방법에는 여러가지가 있을 수 있지만, 보통은 브라우저 쿠키를 이용하여 세션 ID를 발급하는 형식으로 사용된다. ID만 쿠키로 주어지고 해당 데이터 정보들은 서버에서 관리하고 저장된다.

---

# Session 유지의 원리

• 클라이언트가 자신의 웹사이트를 접속할 때 세션 ID를 웹 서버에서 발급해준다.
• 서버에서 클라이언트로 발급한 세션ID 값을 브라우저 쿠키를 이용하여 저장한다.
• 클라이언트는 재접속시, 남아있는 세션ID 쿠키값을 서버에 전달하여 현재 상태를 유지한다.

 

# Session 의 장단점

• 장점으로는 각 클라이언트에 고유 ID를 부여할 수 있다. (ID는 쿠키에 저장된다)
• 세션 ID를 이용하여 각각의 클라이언트를 구분하고, 클라이언트의 상태를 유지시켜 서비스를 제공할 수 있다.
• 정보들은 서버에 저장되고 클라이언트에게는 ID만 부여되는 방식이라 보안성이 쿠키보다 우수하다.

• 단점으로는 서버에 저장되는 방식이기에 서버에 부하가 올 수있고 별도의 세션정보 저장공간을 필요로 한다.

 

# HTTP에서의 Session 동작순서

• 클라이언트 (웹 브라우저)가 서버로 접속을 시도한다.
• 서버는 해당 클라이언트의 request-header field인 쿠키를 확인하고 쿠키안에 session-id가 있는지 확인한다.
• 만약 클라이언트가 보낸 쿠키에 session-id가 없다면, 서버는 새로운 id를 생성해 클라이언트의 response-header filed인 set cookie 값으로 session-id를 발행한다.

---

# JSP의 세션

session 객체 메서드	설명
session.setAttribute( "name" , "value" );	value를 세션으로 저장.
session.getAttribute( "name" );	해당 이름의 session 반환
session.getId();	세션의 고유 아이디 저장
session.getAttributeNames();	세션의 모든 name 불어온다. => Enumeration 대입
session.removeAttribute("name");	세션 삭제
session.invalidate();	전체 세션 초기화

// login.jsp
<%
String id = request.getParameter("id");
String pwd = request.getParameter("pwd");

if ( id.equals("abc") && pwd.equals("1234") ){
    session.setAttribute( "ID" , id );    // 변수id를 데이터로 가진 ID라는 이름의 세션 생성
    response.sendRedirect("loginOK.jsp");    // 세션을 가지고 페이지 이동
} else {
    response.sendRedirect("loginForm.jsp");    // 로그인 페이지로 다시 이동 ( 정보 재입력 요구 )
}
%>
...
생략

// loginOk.jsp

<%
  Enumeration enumeration = session.getAttributeNames(); // 세션에있는모든데이터들이름을가져옴
  
  while( enumeration.hasMoreElements() ){  // enumeratioin 객체의 모든 요소들
    String sName = enumeration.nextElement().toString();
    String sValue = (String)session.getAttribute(sName);

    if ( sValue.equals("abc") ){
      out.println( sValue +" 님 안녕하세요");
    }
  }

%>
...
<body>
   <a href="logout.jsp">로그아웃 하러가기</a>
</body>
</html>

// logout.jsp

<%
    session.invalidate();
%>
...
<body>
    로그아웃 되었습니다.
</body>

 

---

# 쿠키와 세션의 차이

참고로 쿠키, 세션은 사용자 데이터나 상태를 저장하는 방법으로 캐시와는 다른 개념이다.

캐시는 자원을 다시 load할때 해당 자원을 서버에 요청하지 않고, 브라우저에 저장된 자원을(=캐시 메모리) 재사용 하는 것이다. 즉 경우에 따라 해당 자원이 업데이트해서 변경 되어도 남아있는 캐시때문에 기존의 자원을 계속 사용 할 수도 있다는 문제점이 있다. 이 경우 브라우저 캐시를 지워주거나, 서버에서 HTTP Header에 자원 캐시 만료기간을 저장하여 해결한다.

(Browser) Cache Memory

프로그램이 수행될 때 나타나는 지역성을 이용하여 메모리나 디스크에서 사용되었던 내용을 특별히 빠르게 접근할 수 있는 곳에 보관하고 관리함으로써 이 내용을 다시 필요로할 때 보다 빠르게 참조하도록 하는 것이다. 쉽게 풀어서 설명하면 사용되었던 데이터는 다시 사용되어 질 가능성이 높다는 개념을 이용한 것이다. 이를 통해서 다시 사용될 확률이 높은 아이들을 좀 더 빠르게 접근 가능한 저장소를 사용한다는 개념이다.

 

쿠키

• 저장 : 클라이언트 메모리에 저장 (유지가 필요하다면 로컬에 저장)
• 보안 : 로컬 메모리에 저장되기에 탈취, 변조가 쉬워 보안상 취약하다.
• 라이프사이클 : 브라우저를 종료하더라도 로컬에 저장하여 만료되기 전까지 계속 유지할 수 있다.
• 속도 : 서버를 거치지 않고 바로 클라이언트 헤더만 참조하면 되므로 세션에 비해 속도가 빠르다.

 

세션

• 저장 : 서버 메모리에 저장, 클라이언트에게 쿠키로 SessionID 전달
• 보안 : 클라이언트 정보가 서버에 저장되어있기에 보안상 안전하다.
• 라이프사이클 : 세션 쿠키가 없어질 때 까지 유지된다. (= 세션유효시간이 만료되거나 브라우저가 종료되면 사라짐)
• 속도 : 클라이언트 쿠키에 부여된 세션ID를 이용하여 서버에서 해당 데이터를 참조하므로, 단순 쿠키 사용보다 속도가 느리고 서버에 부하를 줄 수 있다.