[마무리] 웹 통신 기초

1. HTTP의 특징

HTTP(HyperText Transfer Protocol)는 서버와 클라이언트 간 데이터를 주고받기 위한 응용 계층의 프로토콜

서버와 클라이언트가 비연결(connectionless) 및 상태 정보를 유지하지 않는(stateless) 방식으로 통신

• HTTP(Hyper Text Transfer Protocol)
  • 데이터 전송을 위한 응용 계층 프로토콜
  • 서버/클라이언트 모델 기반
  • Stateless 프로토콜: 통신이 끝나면 상태 정보를 유지하지 않음
  • Connectionless 프로토콜: 요청-응답 후 연결이 끊어짐
• 장점
  • 서버 디자인이 간단함
  • 독립적인 요청-응답 처리
• 단점
  • 상태 정보가 저장되지 않음 → 매번 인증 필요
  • 쿠키(Cookie)와 세션(Session)으로 해결

2. HTTP와 HTTPS의 차이점

• HTTP: 평문 데이터 전송, 보안 취약
• HTTPS: SSL을 통해 암호화된 데이터 전송, 보안 강화

---

3. 쿠키(Cookie)와 세션(Session)

• 쿠키는 클라이언트 측(사용자의 브라우저)에 저장되는 작은 데이터 파일
• 세션은 서버 측에서 사용자의 상태를 관리하는 방식

https://raonctf.com/essential/study/web/session_connection

• 쿠키
  • 클라이언트에 저장되는 작은 정보 파일
  • 상태 정보를 저장하여 재사용 가능
  • 빠르지만 보안이 상대적으로 낮음
  • 클라이언트 리소스 사용
• 세션
  • 서버에 저장되어 사용자 상태를 유지 : 세션 ID를 통해 클라이언트 식별(반영구적)
  • 보안이 높지만 속도가 느림
  • 서버 리소스 사용

🚨 세션 탈취

https://raonctf.com/essential/study/web/session_connection

4. 쿠키와 세션의 차이점

• 저장 위치: 쿠키는 클라이언트에, 세션은 서버에 저장
• 속도: 쿠키는 클라이언트에 저장되기 때문에 요청 시 속도가 빠르지만, 세션은 서버 자원을 사용하기 때문에 속도가 느릴 수 있다.
• 보안: 세션이 쿠키보다 보안이 더 좋다.
• 라이프 사이클: 쿠키는 만료 시점을 설정할 수 있으며, 브라우저 종료 후에도 유지. 세션은 브라우저 종료 시 만료

---

5. 세션 기반 인증과 토큰 기반 인증

• 세션 기반 인증: 상태 정보를 서버에 저장 (Stateful)
  • 단일 도메인에 적합
  • 확장성 낮음, 보안 문제 있음 (세션 하이재킹)
• 토큰 기반 인증: 서버에 상태 정보 저장하지 않음 (Stateless)
  • 여러 도메인에 적합

• 세션 기반 인증은 클라이언트 상태 정보를 서버에 저장하며, 사용자가 많아지면 서버에 부하가 걸릴 수 있는 Stateful한 구조. CORS 문제로 인해 단일 도메인에서만 관리가 용이
• 토큰 기반 인증(ex. JWT)은 Stateless 구조로, 서버에 상태 정보를 저장하지 않고, 클라이언트가 요청 시 토큰을 함께 전송하여 인증. 여러 도메인에서 작동 가능하며, 클라이언트 측에서 상태를 관리하기 때문에 확장성 좋음

6. JWT(JSON Web Token)

JWT는 Claim 기반의 웹 토큰으로, JSON 형식으로 데이터를 안전하게 주고받을 수 있는 방법. 헤더, 페이로드, 서명으로 구성, 점(.)으로 구분. 토큰 자체에 정보를 포함하여 서버의 저장소에 상태를 저장할 필요 없이 인증을 처리하는 Self-Contained 방식