cookie & session

cookie

key와 value로 이뤄진 일종의 단위

서버가 클라이언트에게 쿠키를 발급하면, 클리이언트는 서버에 요청을 보낼 때마다 쿠리를 같이 전송

클라이언트의 정보 기록과 상태 정보를 표현하는 용도로 사용

클라이언트의 브라우저에 저장되고 요청에 포함되는 정보

클라이언트는 쿠키 정보를 변조해 서버에 요청을 보낼 수 있음

 

session

쿠키에 인증 상태를 저장하지만 클라이언트가 인증 정보를 변조할 수 없게 하기 위해 사용

인증 정보를 서버에 저장하고 해당 데이터에 접근할 수 있는 키(==session ID)를 만들어 클라이언트에 전달하는 방식으로 작동

> 브라우저는 session ID를 쿠키에 저장하고 이후에 HTTP 요청을 보낼 때 사용

> 서버는 요청에 포함된 키에 해당하는 데이터를 가져와 인증 상태를 확인

 

session hijacking

타 이용자의 쿠키를 훔쳐 인증 정보를 획득하는 공격