[보안] 쿠키와 세션 그리고 JWT

세션, 쿠키, JWT는 웹 애플리케이션에서 인증 및 세션 관리에 사용되는 중요한 기술

쿠키 (Cookies)

쿠키는 클라이언트 측(브라우저)에 저장되는 작은 데이터 조각들

장점:

• 간단한 데이터 저장 및 추적에 적합합니다.
• 세션 관리, 사용자 인증, 사용자 선호도 등을 유지하는 데 사용됩니다.

단점:

• 용량 제한(대략 4KB)이 있습니다.
• 매 HTTP 요청마다 쿠키 데이터가 서버로 전송되므로, 네트워크 트래픽에 영향을 줄 수 있습니다.
• XSS(Cross-Site Scripting)와 같은 보안 취약점에 노출될 수 있습니다.

사용 방법:

• 쿠키는 Set-Cookie 헤더를 통해 생성되며, 브라우저는 이후 요청에 Cookie 헤더를 자동으로 포함시킵니다.
• HttpOnly, Secure, SameSite 등의 속성을 사용하여 보안을 강화할 수 있습니다.

// 쿠키 생성 및 설정
Cookie cookie = new Cookie("session_id", "123456789");
cookie.setHttpOnly(true);
cookie.setMaxAge(7 * 24 * 60 * 60); // 1주일
response.addCookie(cookie);

// 쿠키 가져오기
Cookie[] cookies = request.getCookies();
if (cookies != null) {
    for (Cookie c : cookies) {
        if ("session_id".equals(c.getName())) {
            // 세션 ID 처리
        }
    }
}

 

세션 (Sessions)

세션은 서버 측에서 사용자 정보를 저장하는 방법

장점:

• 보안성이 높습니다. 사용자 정보가 서버에 저장되므로 클라이언트 측에서 직접 접근할 수 없습니다.
• 큰 데이터 저장이 가능합니다.

단점:

• 서버에 부담을 줄 수 있습니다. 많은 사용자가 접속할 경우 서버 메모리가 많이 사용될 수 있습니다.
• 상태를 유지하는 서버 환경이 필요합니다.

사용 방법:

• 세션 ID는 쿠키를 통해 클라이언트에 저장되며, 이를 통해 서버는 각 요청을 사용자에게 매핑합니다.
• 서버는 세션 ID와 연결된 데이터를 메모리 또는 데이터베이스에 저장합니다.

// 세션에 사용자 정보 저장
HttpSession session = request.getSession();
session.setAttribute("user", userObject);

// 세션에서 사용자 정보 가져오기
User user = (User) session.getAttribute("user");

 

 

JWT (JSON Web Tokens)

JWT는 JSON 객체를 사용하여 사용자의 정보를 토큰 형태로 안전하게 전송하는 방법

장점:

• 확장성: 분산 시스템 또는 마이크로서비스 아키텍처에 적합합니다.
• 세션 상태를 서버에서 유지할 필요가 없으므로 서버의 부담이 감소합니다.
• 모바일 애플리케이션과의 통합이 용이합니다.

단점:

• 토큰이 탈취되면 사용자의 정보가 노출될 수 있습니다.
• 토큰 크기가 커질 수 있어 네트워크 오버헤드를 증가시킬 수 있습니다.
• 토큰이 만료되기 전까지는 무효화하기 어렵습니다.

사용 방법:

• JWT는 header, payload, signature 세 부분으로 구성됩니다.
• 서버는 인증 후 JWT를 생성하여 클라이언트에 반환합니다.
• 클라이언트는 이후 요청에 JWT를 포함시켜 서버에 전송합니다.
• 서버는 JWT를 검증하고 요청을 처리합니다.

// JWT 생성
String token = Jwts.builder()
    .setSubject(user.getUsername())
    .setExpiration(new Date(System.currentTimeMillis() + 864000000))
    .signWith(SignatureAlgorithm.HS512, "secretKey")
    .compact();

// 요청에서 JWT 검증
String token = request.getHeader("Authorization");
if (token != null) {
    // 토큰 검증 로직
}

 

결론

쿠키: 간단한 데이터를 클라이언트에 저장할 때 유용하지만, 보안 및 용량 제한이 있습니다.

세션: 서버 측에서 사용자 정보를 안전하게 관리할 수 있으나, 서버에 부담을 줄 수 있습니다.

JWT: 분산 환경에 적합하고 서버 부담이 적지만, 보안과 토큰 관리에 주의가 필요합니다.

 

쿠키, 세션, JWT의 사용 시점

• 로그인: 사용자 인증 후 세션 ID 또는 JWT를 생성하여 클라이언트에 전달합니다. 세션 ID는 쿠키에 저장되거나 JWT는 보통 Authorization 헤더에 포함됩니다.
• 회원가입: 회원가입 시에는 보통 쿠키나 세션, JWT를 사용하지 않습니다. 대신 사용자 정보를 데이터베이스에 저장하고 필요한 경우 인증 메일을 보내는 등의 작업을 수행합니다.
• 사용자 상태 유지: 로그인 후 쿠키, 세션 또는 JWT를 사용하여 사용자의 로그인 상태를 유지하고, 사용자가 서비스를 이용할 때마다 해당 정보를 사용하여 사용자를 인증합니다.