[IT] 쿠키 & 세션 & 토큰 & 캐시

쿠키(Cookie) : 브라우저에 저장되는 정보

웹 서핑을 하면서 어떤 사이트에 들어가면 쿠키를 설정하라는 문구를 본 적 있을 것이다. 이 쿠키 덕분에 쇼핑 사이트에

로그인하지 않아도 장바구니에 물건을 담아두거나 검색 기록에서 이전에 입력했던 검색어들을 찾아볼 수 있다.

나의 웹 서핑 내역이 마케팅과 광고에 활용되는 것도 쿠키를 통해 이뤄지는 일이다.

쿠키는 크롬이나 엣지같은 브라우저에 저장되는 작은 텍스트 파일이다. 브라우저는 사용자의 컴퓨터에 설치된

소프트웨어이므로 쿠키는 사용자가 갖고 있는 정보라고 할 수 있다.

사용자는 브라우저의 설정 화면이나 개발자 도구에서 쿠키를 확인하고 수정, 삭제할 수 있다. 다만, 쿠키는 당사자 뿐만

아니라 제 3자가 조회하는 것도 가능하기 때문에 개인 정보를 담은 내용이나 보안상 민감한 정보를 저장하는 데에는

적합하지 않다. 따라서 남에게 탈취되거나 사용자에 의해 조작되어도 크게 문제 되지 않을 정보를 브라우저에

저장함으로써 웹사이트 이용을 편리하게 해주는 것이 쿠키이다.

 

세션(Session) : 서버가 나를 알아보는 방법

웹사이트에 아이디와 비밀번호를 입력해서 로그인하면 해당 사이트의 회원에게만 허용된 기능들을 사용할 수 있다.

마이페이지를 클릭해서 내 정보를 볼 수도 있고, 회원 전용 게시판의 글쓰기 버튼을 클릭하여 글을 쓸 수도 있다.

문제는 이와 같은 클릭 하나하나는 매번 서버에게 새로 보내는 익명 편지와도 같아서 사이트에 로그인을 하는 등의 이전

행위들과 연결되어 있지 않다는 것이다. 다시 말해 서버는 아이디와 비밀번호를 입력해 로그인에 성공한 사용자와

로그인 후 마이페이지 버튼을 누른 사용자가 동일한 사람임을 알지 못한다는 것이다. 그렇기 때문에 사용자가

사이트에 로그인한 상태라는 것을 서버에 인증하지 못하면 클릭을 할 때마다 반복해서 아이디와 비밀번호를 서버에

제공해야 한다. 이러한 번거로움을 해결하기 위해 사용하는 것이 세션이다.

사용자가 사이트에 한 번 로그인하면 유효기간이 끝날 때까지 더 이상 아이디와 비밀번호를 입력하지 않아도 되도록

사용자가 이미 서버로부터 인증받았음을 증명해 주는 세션이라는 증서가 필요하다. 사용자가 서버에 올바른 아이디와

비밀번호로 로그인에 성공하면 서버는 세션 아이디라는 데이터를 만든다. 보통은 알파벳과 숫자가 혼합된 형식을

갖고 있다. 서버는 영화관에서 티켓을 보관용 부분만 찢어 건네주듯 세션 아이디를 사용자에게 전달하고, 메모리에

아이디 사본을 어떤 사용자의 것인지 적어서 보관한다.

사용자는 서버로부터 받은 세션 아이디를 쿠키로 저장한 다음 앞으로의 모든 요청에 함께 전달한다. 친구 목록을 볼 때,

게시글을 작성할 때, 구매한 상품 내역을 볼 때도 서버에게 세션 아이디를 적은 편지를 보낸다.

서버는 사용자에게서 친구 목록을 보겠다는 요청을 받으면 그 편지에 세션 아이디가 적혀 있는지를 확인한다.

아이디가 있다면 서버가 보관하고 있는 세션 아이디 중에 동일한 정보가 있는지 찾아보고 그것이 누구의 계정인지

확인한 후 해당 사용자가 요청한 친구 목록을 보여주는 것이다.

(세션은 로그인 여부 등 사용자와 서버의 관계가 기억되어 보존되고 있는 상태를 말한다.)

 

토큰(Token) : 세션과는 다른 로그인 유지 방식

세션 방식은 안전하고 효과적이지만 단점도 있다. 서버는 요청마다 함께 딸려 오는 세션 아이디를 바로바로 확인할 수

있도록 로그인한 사용자의 아이디를 메모리라는 '책상'에 올려둔다. 메모리에 올려둔 데이터를 빠르게 확인할 수 있다는

장점이 있는 대신 공간이 한정되어 있다. 서버에 동시 접속하는 사용자가 많아지면 메모리 공간이 부족해져서 서버에

부하가 걸리고 화면이 멈추는 등의 문제가 발생할 수 있다.

메모리 공간을 많이 차지하는 세션 방식의 대안은 로그인한 사용자에게 세션 아이디 대신 토큰을 발급해 주는 것이다.

이러한 토큰에는 특수한 수학적 원리가 적용되어 있어서 마치 위조 방지 장치가 있는 지폐처럼 각 서버만의 유효한 토큰을

발행할 수 있다. 그렇기 때문에 토큰을 받아 간 사용자가 이를 쿠키로 저장해 두고 필요할 때마다 제시하면 서버는 따로

책상에 올려놓은 것을 확인할 필요 없이 자기가 발급한 토큰임을 알아보고 사용자의 요청을 허가해 주는 것이다.

더 이상 이미 로그인한 사용자의 책상(메모리)에 올려 두고 있을 필요가 없으니 서버 부하를 줄일 수 있는 것이다.

(토큰 방식은 각 서버만이 만들 수 있는 토큰을 발급함으로써 상태를 저장하지 않고도 사용자의 로그인 여부를

파악할 수 있도록 한다.)

물론 토큰 방식에도 한계는 있다. 여러 기기에서의 로그인을 제한하기 위해 필요한 때에 로그인 되어있는 사용자를 서버가

강제로 로그아웃 시킬 수 있어야 하는데, 토큰 방식에서는 이것이 불가능하다. 한 번 발행한 토큰은 유효기간이 끝나기

전까지 따로 통제할 수 없기 때문에 세션에 비해 토큰 정보를 탈취당할 가능성이 높다. 그러나 토큰은 쿠키처럼

만료 기간을 정할 수 있어서 만료 기간을 짧게 지정해 피해를 줄일 수 있다. 토큰 방식은 쿠키와 세션을 적절히 섞은 것과

비슷하다.

 

캐시(Cache) : 전송량은 줄이고 속도는 높이는 기술

우리는 매일같이 웹 사이트나 유튜브, 온라인 게임 등을 통해 이미지, 동영상, 웹 페이지 코드와 같은 대량의 데이터를

서버로부터 전송받는다. 이러한 데이터 전송에는 시간이 소요될 뿐만 아니라 통신비도 지출된다. 고화질 동영상처럼

크기가 큰 데이터일수록 비용은 더 커진다.

그러나 한 번 전송받은 데이터는 저장해 놨다가 다시 사용할 때 꺼내 쓴다면 반복적으로 서버에 데이터 전송을 요청할

필요가 없다. 이때 사용되는 기술이 캐시이다. 캐시 덕분에 우리는 반복적으로 사용하는 콘텐츠를 빠르게 이용할 수 있고

데이터 사용량도 줄일 수 있다.

(캐시는 인터넷 환경뿐만 아니라 다양한 곳에서 사용되는 개념이다. 컴퓨터의 하드웨어 안에서도 메모리 안에 들어있는

정보를 더 빨리 가져올 수 있도록 하는 CPU 캐시 등이 있다.)

일반적으로 사용자 입장에서 가장 가까이 접하는 캐시는 브라우저 캐시이다. 사용자가 컴퓨터나 스마트폰에서 인터넷

서핑할 때 받아온 데이터는 브라우저에 캐시 형태로 저장된다. 쿠키와 같이 캐시도 각 브라우저의 설정 화면에서

조작을 통해 비울 수 있다. 캐시 덕분에 사용자는 같은 사이트를 다시 방문하거나 동영상을 다시 시청할 때

추가로 통신비를 지출하지 않고 로딩 없이 콘텐츠를 이용할 수 있다.

(쿠키와 캐시의 차이 : 쿠키와 캐시 모두 정보를 저장하여 재활용하는 기술이지만, 쿠키는 사용자의 수고를 덜어주는 데

목적을 두고 캐시는 데이터의 전송량을 줄이고 서비스 이용 속도를 높이는 데 목적을 둔다.)