[Security] 쿠키 vs 세션 vs 토큰

JWT 인증 방식에 대해 알아보기에 앞서, 클라이언트 - 서버간의 통신에서 인증의 방식으로 사용되는 쿠키, 세션, 토큰 방식에 대해 간단히  알아봅시다.

---

❗️쿠키, 세션, 토큰은 왜 사용될까?

쿠키와 세션 그리고 토큰은 어디에, 왜 사용될까요?

 

이를 이해하기 위해선 보통 웹 환경에서 사용하는 HTTP 프로토콜의 특징을 아는 것이 중요합니다.

HTTP 프로토콜의 특징

1. 비연결성(Connectionless) : 클라이언트-서버간 TCP 연결을 맺은 이후 서버는 클라이언트의 요청에 대한 응답을 보내고 난 후, 그 즉시 연결이 끊어집니다.

 

2. 무결성(Stateless) : 비연결성에 의해 연결이 끊어지는 순간 모든 상태정보가 사라지게 됩니다. 

 

비연결성과 무결성의 특성으로 인해 서버는 클라이언트가 첫 번째 통신 때 보낸 정보를 두 번째 통신 때 알 수 없게 됩니다.

이러한 HTTP의 특성 때문에, 쿠키나 세션, 토큰 방식이 사용됩니다.

---

❗️Cookie 인증 방식

Cookie는 Key-Value쌍의 데이터 파일입니다.

 

동작방식

쿠키 인증 방식

1. 클라이언트가 서버에 로그인 요청을 합니다.

2. 서버는 클라이언트의 로그인 요청에 대해 ID와 PW를 확인하고, Response Header에 set-cookie: user=chrisjune을 추가하여 응답합니다.

3. 클라이언트는 이후 서버에 데이터를 요청할 때 전달받은 cookie: user=chrisjune 쿠키를 자동으로 요청헤더에 추가하여 요청합니다.

 

쿠키 특징

• 기한이 정해져 있지 않아 지우지 않는다면 브라우저에 반영구적으로 남아있게 됩니다.
• 쿠키는 클라이언트에서 서버에 요청을 보낼 때, 클라이언트가 임의로 값을 변경할 수 있기 때문에 보안상 좋은 방법은 아닙니다.
• 쿠키는 클라이언트에 저장되므로 서버의 자원을 사용하지 않는다는 이점이 있습니다.

---

❗️Session 인증 방식

세션은 일정 기간동안 동일한 클라이언트로부터 들어오는 요청을 하나의 상태로 보고 그 상태를 일정하게 유지시키는 기술입니다.

쿠키와 달리 세션은 중요한 정보는 모두 서버에 저장하고, 클라이언트의 최초 로그인 요청에 대해 쿠키로 임의의 식별자를 전달합니다.

 

동작 방식

세션 인증 방식

1. 클라이언트가 서버에 로그인 요청을 합니다.

2. 서버는 클라이언트의 로그인 요청에 대해 ID와 PW를 확인하고, Response Header에 set-cookie: a1x2fjz을 추가하여 응답합니다. 이 때, 클라이언트 요청의 중요한 정보인 user는 서버에서 관리합니다.

3. 클라이언트는 이 후 서버로부터 받은 임의의 식별자 쿠키를 Request Header에 담아 요청하고, 서버는 Request Header의 임의의 식별자 쿠키 값을 서버에 저장된 세션 저장소에서 찾아보고 유효한지 확인 후 요청을 처리하고 응답합니다.

세션 특징

• 세션은 쿠키를 이용해 쿠키에 세션 ID만 저장하고, 서버에서 세션을 처리하기 때문에 외부적으로 중요한 정보가 노출되지 않는다는 점에서 비교적 보안성이 좋습니다.
  
  • 그러나 해커가 세션 ID 자체를 탈취하여 클라이언트인척 위장할 수 있다는 한계가 존재합니다. (이는 서버에서 IP 특정을 통해 해결 가능)
• 세션의 내용은 서버에 저장되기 때문에 클라이언트가 늘어날 경우 서버에 부하가 심해질 수 있습니다.
• 세션은 브라우저가 종료되면 만료시간에 상관없이 삭제됩니다.
• 쿠키는 파일에서 읽기 때문에 상대적으로 빠르고, 세션은 요청마다 서버에서 처리를 해야하기 때문에 비교적 느립니다.

---

❗️Token 인증 방식

토큰 인증 방식은 서버가 클라이언트의 최초 요청시 임의의 '토큰'을 부여하는 방식입니다.

 

동작 방식

1. 클라이언트가 서버에 로그인을 요청합니다.

2. 서버는 클라이언트의 로그인 요청에 대해 ID와 PW를 확인하고, 사용자에게 유일한 토큰을 발급합니다.

3. 클라이언트는 이후 서버에 요청시 토큰 정보와 함께 요청을 하고 서버는 토큰을 유효한지 검증 후 요청을 처리하고 응답합니다.

 

Token 특징

 

장점

• 기존의 세션 기반 인증은 서버가 파일이나 데이터베이스에 세션정보를 가지고 있어야 하고 이를 조회하는 과정이 필요하기 때문에 많은 부하가 발생합니다.
• 하지만 토큰은 세션과는 달리 서버가 아닌 클라이언트에 저장되기 때문에 메모리나 스토리지 등을 통해 세션을 관리했던 서버의 부담을 덜 수 있습니다.
• 서버는 토큰이 검증기를 통해 토큰이 위조되었는지 판별만 하면 됩니다.

단점

• 쿠키/세션과 다르게 토큰 자체의 데이터 길이가 길어, 인증 요청이 많아질수록 네트워크 부하가 심해질수 있습니다.
• 클라이언트가 토큰을 탈취 당하면 서버 입장에서 대처하기 어렵습니다. (클라이언트 잘못이긴 하지만 서버에서는 사용 기간을 제한하거나, 토큰을 블랙리스트는 방식으로 해결할 수 있습니다.)

---

 

<참고자료>

 

🌐 JWT 토큰 인증 이란? (쿠키 vs 세션 vs 토큰)

 

세션 인증 방식 vs 토큰 인증 방식

 

 

[WEB] 쿠키, 세션이란?