📘[Web] 쿠키와 세션에 대해서…

📘 쿠키와 세션에 대해서…

쿠키와 세션은 웹에서 데이터를 저장하기 위해 사용되는 도구들이다.
주로, 개인화된 데이터를 다룰 때 사용하고, ‘개인화된 데이터’란, ‘브라우저별로 구별 가능한 데이터’ 이다. 예시로는, ‘로그인’ 정도가 있다.

---

1. 쿠키

쿠키는 브라우저에 저장되는 데이터를 말한다.
웹에서 가장 중요한 것중 하나가 바로 요청과응답이다.
쿠키에서 요청 즉, HttpServletRequest에 해당하는 것은 getCookie로 쿠키 조회 기능이다.
응답 즉, HttpServletResponse에 해당하는 것은 setCookie로 쿠키 등록 기능이다.

1-1. 쿠키 저장

브라우저에서 쿠키를 저장할 때는 Set-Cookie함수를 이용하여 키=값형식으로 저장한다.

1-2. 쿠키 호출

브라우저가 서버에 ‘요청’을 통해 데이터를 가져올 수 있다.

1-3. 쿠키 사용 예제

java 코드로 쿠키를 사용해보자.

// 쿠키 등록
@RestController
public class CookieExamController {
	@GetMapping("/ex01")
	public void exam(HttpServletResponse rs) {
		Cookie cookie = new Cookie("key1", "value1");
        cookie.setMaxAge(60 * 60 * 24 * 7);	// 쿠키 만료 시간 설정: 1주일 뒤 쿠키 만료
		rs.addCookie(cookie);	// 응답 헤더: Set-Cookie : key1=value1
	}
}

위 코드를 입력하고, 서버와 함께 실행해보자.
화면에는 아무 것도 출력되지 않지만 f12를 눌러 개발자도구로 들어가서 새로고침(f5)를 해보면, ex01이라는 이름의 주소가 나와있을건데 그걸 클릭해서 열어보면 아래와 같이 나온다.

> Response Header
Connection: keep-alive
Content-Length: 0
Date: Tue, 15 Nov 2022 10:31:37 GMT
Keep-Alive: timeout=20
Set-Cookie: key1=value1

여기서 볼 수 있듯이, 응답 헤더에서 Set-Cookie: key1=value1형식으로 쿠키를 저장한 것을 알 수 있다.

다음으로 쿠키를 ‘조회’해보자.

// 쿠키 조회
@GetMapping("/ex02")
public void exam2(HttpServletRequest rq) {
    Cookie[] cookies = rq.getCookies();
    
    for(Cookie cookie:cookies) {
        System.out.printf("name=%s, value=%s\n", cookie.getName(), cookie.getValue());
    }
}

위 코드를 추가해보면, 콘솔 창에 내가 등록한 쿠키의 정보를 조회할 수 있다.
마찬가지로 f12를 눌러 쿠키 정보를 찾아보면

> Request Header
key1=value1; Idea-9b46b357=2a35f0b5-d223-466f-b572-fb3bf1131e42; _xsrf=2|8a3111ba|28a2b91ab6eab1bf2c74d869a4c98e20|1668274061; username-localhost-8888="2|1:0|10:1668479275|23:username-localhost-8888|44:ZjBjMzk2YjhkYjAwNDhkYTg4NmVjMTkxNzEzMzhiYmY=|704f56e52b3773386317885a767ea947455988928efa4e5641174da5af0de01a"

위와 같이 요청 헤더에 쿠키에 대한 정보를 조회할 수 있다.

위의 방식이 너무 길어 번거로우면

@GetMapping("/ex03")
public void exam3(@CookieValue("key1") String name) {
    System.out.println(name);
}

위와 같이 작성할 수 있다.

---

2. 세션

세션은 사용자가 브라우저를 닫아 서버와의 연결을 끝내는 시점까지를 일컫는다.
쿠키가 개인화된 데이터를 브라우저에 저장했다면, 세션은 서버에 저장한다.
쿠키는 클라이언트 컴퓨터에 모든 데이터를 저장한다면, 세션은 서비스가 동작하고 있는 서버측에 데이터를 저장하고, 세션의 키값을 클라이언트에 남긴다.
브라우저는 필요할 때마다 이 키값을 이용해 서버에 저장된 데이터를 사용한다.
결국 세션은 쿠키의 보안성을 보완해주는 상호보완적인 관계라고 볼 수 있다.

2-1. 세션 값 등록

HttpSession 클래스를 사용한다.
여기서, setAttribute("key", "value")를 통해 값을 등록할 수 있다.

2-2. 세션 값 조회

getAttribute("key")를 통해 등록된 값을 조회할 수 있다.

2-3. 세션 사용 예제

// 세션 등록
@RestController
public class SessionExamController {
	
	@GetMapping("/ex04")
	public void ex04(HttpSession session) {
		session.setAttribute("key2", "value2");
	}
}

위의 코드를 입력하고 실행해보고, 해당 페이지에서 f12를 눌러 확인해보자.
세션이 등록되었을텐데, 개발자도구에서는 보이지 않는다. 이전에 등록한 쿠키(key1=value1)만 나온다. 왜냐하면, 세션은 서버에 저장되기 때문에 브라우저에서는 확인할 수 없다. 대신 JESESSIONID라는 값이 생겼을텐데, 해당 값은 브라우저마다 다르다.
ctrl + shift + n을 동시에 눌러 크롬 시크릿 모드로 들어가 같은 url을 입력한 후, 개발자도구로 확인해보면 JSESSIONID의 값이 다르게 나오는 것을 볼 수 있다.

다음으로 값을 조회해보자.

@GetMapping("/ex05")
public void ex05(HttpSession session) {
    String value2 = (String)session.getAttribute("key2");
    System.out.printf("key2=%s\n", value2);
}

위 코드를 입력하고 실행하면, 콘솔창에 key2=value2라고 출력되는 것을 확인할 수 있다.