쿠키와 세션 모두 HTTP 에 상태 정보를 유지(Stateful)하기 위해 사용됩니다. 즉, 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가를 할 수 있게 됩니다.
쿠키
- 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일 입니다.
- 클라이언트인 웹 브라우저에 저장된 '쿠키' 를 확인해 보죠.
- 크롬 브라우저 기준으로 '개발자도구' 를 열어 보세요.
- Application - Storage - Cookies 에 도메인 별로 저장되어 있는게 확인 됩니다.
구성요소
- Name (이름): 쿠키를 구별하는 데 사용되는 키 (중복될 수 없음)
- Value (값): 쿠키의 값
- Domain (도메인): 쿠키가 저장된 도메인
- Path (경로): 쿠키가 사용되는 경로
- Expires (만료기한): 쿠키의 만료기한 (만료기한 지나면 삭제됩니다.)
세션
- 서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용됩니다.
- 서버에서 클라이언트 별로 유일무이한 '세션 ID' 를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장합니다.
- 서버에서 생성한 '세션 ID' 는 클라이언트의 쿠키값('세션 쿠키' 라고 부름)으로 저장되어 클라이언트 식별에 사용됩니다.
- 클라이언트가 서버에 1번 요청
- 서버가 세션ID 를 생성하고, 쿠키에 담아 응답 헤더에 전달
- 세션 ID 형태: "SESSIONID = 12A345"
- 클라이언트가 쿠키에 세션ID를 저장 ('세션쿠키')
- 클라이언트가 서버에 2번 요청
- 쿠키값 (세션 ID) 포함하여 요청
- 서버가 세션ID 를 확인하고, 1번 요청과 같은 클라이언트임을 인지
쿠키 생성하기
public static void addCookie(String cookieValue, HttpServletResponse res) {
try {
// Cookie Value 에는 공백이 불가능해서 encoding 진행
cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20");
Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue);
cookie.setMaxAge(30 * 60);
res.addCookie(cookie);
} catch (UnsupportedEncodingException e) {
throw new RuntimeException(e.getMessage());
}
}
- new Cookie(AUTHORIZATION_HEADER, cookieValue);
- Cookie에 저장될 Name과 Value를 생성자로 받는 Cookie 객체를 생성합니다.
- setPath("/"), setMaxAge(30 * 60)
- Path와 만료시간을 지정합니다.
- HttpServletResponse 객체에 생성한 Cookie 객체를 추가하여 브라우저로 반환합니다.
- 이렇게 반환된 Cookie는 브라우저의 Cookie 저장소에 저장됩니다.
- Cookie 생성은 범용적으로 사용될 수 있기 때문에 static 메서드로 선언합니다.
쿠키 읽기
@GetMapping("/get-cookie")
public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {
System.out.println("value = " + value);
return "getCookie : " + value;
}- @CookieValue("Cookie의 Name")
- Cookie의 Name 정보를 전달해주면 해당 정보를 토대로 Cookie의 Value를 가져옵니다.
HttpSession 생성
@GetMapping("/create-session")
public String createSession(HttpServletRequest req) {
HttpSession session = req.getSession(true);
session.setAttribute(AUTHORIZATION_HEADER, "Robbie Auth");
return "createSession";
}
- HttpServletRequest를 사용하여 세션을 생성 및 반환할 수 있습니다.
- req.getSession(true)
- 세션이 존재할 경우 세션을 반환하고 없을 경우 새로운 세션을 생성합니다.
- 세션에 저장할 정보를 Name-Value 형식으로 추가합니다.
- 반환된 세션은 브라우저 Cookie 저장소에 ‘JSESSIONID’를 Name으로 하며, 유일무이한 세션ID는 Value에 저장됩니다.
HttpSession 읽기
@GetMapping("/get-session")
public String getSession(HttpServletRequest req) {
HttpSession session = req.getSession(false);
String value = (String) session.getAttribute(AUTHORIZATION_HEADER);
System.out.println("value = " + value);
return "getSession : " + value;
}
- req.getSession(false)
- 세션이 존재할 경우 세션을 반환하고 없을 경우 null을 반환합니다.
- session.getAttribute(”세션에 저장된 정보 Name”)
- Name을 사용하여 세션에 저장된 Value를 가져옵니다.
'Spring > 팀스파르타' 카테고리의 다른 글
| 28. 필터란 무엇일까? (0) | 2024.11.16 |
|---|---|
| 27. JWT 다루기 (1) | 2024.11.15 |
| 25. 인증과 인가란 무엇일까? (1) | 2024.11.12 |
| 24. Bean을 수동으로 등록하기 (1) | 2024.11.10 |
| 23. Query Methods란 무엇일까? (1) | 2024.11.08 |