인프런 커뮤니티 질문&답변

소니소니님의 프로필 이미지
소니소니

작성한 질문수

스프링 MVC 2편 - 백엔드 웹 개발 활용 기술

로그인 처리하기 - 세션 동작 방식

세션 저장 위치

작성

·

61

0

학습하는 분들께 도움이 되고, 더 좋은 답변을 드릴 수 있도록 질문전에 다음을 꼭 확인해주세요.

1. 강의 내용과 관련된 질문을 남겨주세요.
2. 인프런의 질문 게시판과 자주 하는 질문(링크)을 먼저 확인해주세요.
(자주 하는 질문 링크: https://bit.ly/3fX6ygx)
3. 질문 잘하기 메뉴얼(링크)을 먼저 읽어주세요.
(질문 잘하기 메뉴얼 링크: https://bit.ly/2UfeqCG)

질문 시에는 위 내용은 삭제하고 다음 내용을 남겨주세요.
=========================================
[질문 템플릿]
1. 강의 내용과 관련된 질문인가요? (예/아니오)
2. 인프런의 질문 게시판과 자주 하는 질문에 없는 내용인가요? (예/아니오)
3. 질문 잘하기 메뉴얼을 읽어보셨나요? (예/아니오)

[질문 내용]
세션은 쿠키에 저장하는데 로컬 스토리지나 세션 스토리지에 저장하지 않는 이유가 있을까요??

답변 1

0

안녕하세요. 흥흐음님, 공식 서포터즈 y2gcoder입니다.

개인적으로 생각했을 때 세션 ID를 쿠키에 저장하고 로컬 스토리지나 세션 스토리지에 저장하지 않는 이유는 아래와 같다고 생각합니다!

  1. 보안 문제: 쿠키는 SameSite, HttpOnly, Secure 와 같은 옵션을 통해 보안 설정을 강화할 수 있습니다! 특히 로컬 스토리지와 세션 스토리지는 브라우저 내에서 자바스크립트를 통해 접근이 가능하여 XSS 공격에 취약한데, 쿠키는 HttpOnly를 통해 해당 공격을 방어할 수 있습니다 🙂

  2. 서버에서의 일관된 세션 관리: 세션 ID는 서버에서 발급하고 관리하는 정보입니다. 이를 로컬 스토리지나 세션 스토리지에 저장하면 서버의 세션 관리 정책과 달라질 수 있습니다. 쿠키를 사용하면 클라이언트가 서버 요청을 보낼 때 자동으로 세션 ID가 들어간 쿠키를 포함해서 요청을 보내게 되고, 서버는 이를 통해 세션을 쉽게 식별하고 관리할 수 있습니다.

  3. 세션 만료 관리: 쿠키는 서버가 유효 기간을 명시해서 줄 수 있습니다. 세션이 만료되면 자동 쿠키가 삭제되도록 설정할 수도 있습니다. 반면 로컬 스토리지는 브라우저 탭이나 창을 닫아도 데이터가 유지되기 때문에 기본적으로 세션 관리에 적합하지는 않습니다. (세션 스토리지는 로컬 스토리지와 달리 창이나 탭을 닫으면 데이터가 삭제되기는 합니다!)

  4. 전통적이고 표준적인 방식: 웹 애플리케이션에서 쿠키는 오랫동안 쓰여왔고, 많은 브라우저와 웹 애플리케이션 서버들은 이 쿠키를 통해 세션을 관리하도록 개발되어왔습니다. 그러한 표준에 맞춰 개발되어있기 때문에 로컬 스토리지나 세션 스토리지를 사용하게 되면 쿠키를 사용하는 것보다 추가적인 복잡성(개발)이 필요할 수 있습니다 🙂

 

감사합니다.

소니소니님의 프로필 이미지
소니소니

작성한 질문수

질문하기