[Authentication in Node.js] Using Sessions & Cookies

<본 블로그는 The Full Stack Junkie 님의 유튜브를 참고해서 공부하며 작성하였습니다 :-)>

=> Understanding Authentication in Node.js - Sessions &Cookies - Web Development Concepts

 

🖥️ Using Sessions & Cookies

Sessions&nbsp;&&nbsp;Cookies

 

➡️ 쿠키 Cookie

https://velog.io/@guswlsapdlf/Session-Cookie-Persistent-Cookie

: 웹 서버가 브라우저에게 지시하여 사용자의 로컬 컴퓨터에 파일 또는 메모리에 저장하는 작은 기록 정보 파일

: 쿠키에 대한 정보를 매 헤더(Http Header) 에 추가하여 보내기 때문에 상당한 트랙픽을 발생

: 쿠키가 유출되면 보안에 대한 문제점도 발생

Name
쿠키의 이름
Value
쿠키의 저장된 값
Expires
쿠키가 언제 삭제되는지 결정
Max-Age를 통해 지정된 만료일이 되면 디스크에서 쿠키가 제거
Domain
쿠키가 사용되는 도메인을 지정
현재 탐색 중인 도메인과 일치하지 않을 경우, “타사 쿠키”로 간주되며 브라우저에서 거부
한 도메인에서 다른 도메인에 대한 쿠키를 사용하지 못하게 설정.
Path
쿠키를 반환할 경로를 결정
Secure
보안 연결 설정
HttpOnly
Http 외에 다른 통신 사용 가능 설정

 

➡️ 세션 HTTP Session

https://nesoy.github.io/articles/2017-03/Session-Cookie

: HTTP Session id를 식별자로 구별하여 데이터를 사용자의 브라우저에 쿠키형태가 아닌 접속한 서버 DB에 정보를 저장

: 클라이언트는 HTTP Session id를 쿠키로 메모리 저장된 형태로 가지고 있음

: 메모리에 저장하기 때문에 브라우저가 종료되면 사라짐

1) 클라이언트가 서버에 Resource를 요청
2) 서버에서는 HTTP Request를 통해 쿠키에서 Session id를 확인을 한 후에 없으면 Set-Cookie를 통해 새로 발행한 Session-id 보냄
3) 클라이언트는 HTTP Request 헤더에 Session id를 포함하여 원하는 Resource를 요청
4) 서버는 Session id를 통해 해당 세션을 찾아 클라이언트 상태 정보를 유지하며 적절한 응답함

 

➡️ JWT (JSON Web Token)

https://velog.io/@couchcoding/HTTP-2-HTTP%EC%97%90%EC%84%9C-%EC%83%81%ED%83%9C%EB%A5%BC-%EC%A0%80%EC%9E%A5%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95%EC%9D%84-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90-Session-Cookie

: Header(Json), Payload(Json), Signature(Hash)형태의 데이터를 Base64로 인코딩하여 만든 토큰

: JWT는 json payload에 데이터를 담아서 서명을 동봉한 증명 토큰으로 토큰 자체에 데이터가 저장

1) 인증 서버를 통해 인증을 수행하면 인증 서버는 자신의 서명과 유효기간을 포함한 JWT를 리턴
2) Header의 Authroization에 담아 API를 요청하면 서버는 인증서버를 통해 토큰 유효성을 검증

 

🖥️ 개발 환경 설정

➡️ server.js

// server.js
const express = require("express");
const app = express();

app.get("/", (req, res) => {
  res.send("Hello sessions");
});

const PORT = process.env.PORT || 8080;
app.listen(PORT, () => {
  console.log(`Server running on http://localhost:${PORT}`);
});

➡️ express-session

// 모든 uri에 접근 했을 때 적용되도록 라우터를 만듦
app.use(
  session({
    // 암호화에 대한 내용
    secret: "key that all sign cookie",
    // 매 request 마다 세션을 계속 다시 저장
    resave: false,
    // request에서 새로 생성된 session에 아무런 작업이 이루어지지 않은 상황
    saveUninitialized: false,
  })
);

########################### req.session ###########################
Session {
  cookie: { path: '/', _expires: null, originalMaxAge: null, httpOnly: true }
}

sessionId

 

➡️ Mongoose 설정

const express = require("express");
const session = require("express-session");
const bcrypt = require("bcryptjs");
const mongoose = require("mongoose");
const MongoDBSession = require("connect-mongodb-session")(session);
const app = express();

// DB config
require("dotenv").config();
const db = process.env.MONGODB_URI;

const UserModel = require("./models/User");

// connect to Mongo
mongoose
  .connect(db, {
    useNewUrlParser: true, // useNewUrlParser : 에러 방지
    useUnifiedTopology: true,
  })
  .then((req) => console.log("💚MongoDB Connected..."))
  .catch((err) => console.log(err));

const store = new MongoDBSession({
  url: db,
  collection: "mySessions",
});

app.set("view engine", "ejs");
app.use(express.urlencoded({ extended: true }));

// 모든 uri에 접근 했을 때 적용되도록 라우터를 만듦
app.use(
  session({
    // 암호화에 대한 내용
    secret: "key that all sign cookie",
    // 매 request 마다 세션을 계속 다시 저장
    resave: false,
    // request에서 새로 생성된 session에 아무런 작업이 이루어지지 않은 상황
    saveUninitialized: false,
    store: store,
  })
);

const PORT = process.env.PORT || 8080;
app.listen(PORT, () => {
  console.log(`Server running on http://localhost:${PORT}`);
});

 

➡️ login / register / dashboard / home page 설정

 

➡️ register 하고, login 후 mongodb