- 프로젝트 설명: 이전에 제작한 Nodejs, mongoDB 기반의 영화 필터링 웹사이트에 로그인, 로그아웃 기능 및 프로필 보기, 수정 기능 추가하였습니다.
/ : DB 에 있는 모든 영화의 제목이 나열된 홈페이지 (GET)
/upload : 영화 생성 (GET, POST)
/search : 제목, 별점, 연도 별로 영화를 검색하는 페이지 (GET)
/movies/:id : 영화 상세 정보 페이지 (GET)
/movies/:id/edit : 영화 편집 (GET, POST)
/movies/:id/delete : 영화 삭제 (GET)
/user/join : 회원가입 (GET, POST)
/user/login : 로그인 (GET, POST)
/user/logout : 로그아웃 (GET)
/user/profile/:username : 프로필 보기 (GET)
/user/profile/:username/edit : 프로필 수정 (GET, POST)
/user/changepassword : 비밀번호 변경 (GET, POST)
- 소요 기간: 2022.01.31
- 사용한 기술 스택 : Nodejs, mongoose, mongoDB
- 전체 코드 보기 : 깃허브 링크 바로가기
✔️ 쿠키와 세션 정리
사용자가 로그인한 상태인지 아닌지 확인하고 싶을 때 쿠키나 세션을 사용하는 방법이 있습니다. 쿠키는 클라이언트 웹 브라우저에 저장되는 정보이며, 세션은 웹 서버에 저장되는 정보!
- 사용자가 로그인을 한다.
- 서버에서는 계정정보를 읽어 사용자를 확인한 후, 사용자의 고유한 ID값을 부여하여 세션 저장소에 저장한 후, 이와 연결되는 세션ID를 발행합니다.
- 사용자는 서버에서 해당 세션ID를 받아 쿠키에 저장을 한 후, 인증이 필요한 요청마다 쿠키를 헤더에 실어 보냅니다.
- 서버에서는 쿠키를 받아 세션 저장소에서 대조를 한 후 대응되는 정보를 가져옵니다.
- 인증이 완료되고 서버는 사용자에 맞는 데이터를 보내줍니다.
세션 쿠키 방식의 인증은 기본적으로 세션 저장소를 필요로 합니다. 세션 저장소는 로그인을 했을 때 사용자의 정보를 저장하고 열쇠가 되는 세션ID값을 만듭니다.
그리고 HTTP 헤더에 실어 사용자에게 돌려보냅니다. 그러면 사용자는 쿠키로 보관하고 있다 인증이 필요한 요청에 쿠키(세션ID)를 넣어 보낼 것입니다. 웹 서버에서는 세션 저장소에서 쿠키(세션ID)를 받고 저장되어 있는 정보와 매칭시켜 인증을 완료합니다.
-
세션ID를 쿠키라고 봐도 동일합니다. 쿠키가 사용자 개념에서 더 큰 범주입니다. 세션ID를 쿠키로 저장하는 셈이죠.
-
세션과 쿠키 개념이 헷갈리시는 분들이 있으신데, 세션은 서버에서 가지고 있는 정보이며 쿠키는 사용자에게 발급된 세션을 열기 위한 열쇠(SESSION ID)를 의미합니다. 쿠키만으로 인증을 사용한다는 말은 서버의 자원은 사용하지 않는다는 것이며, 이는 즉 클라이언트가 인증 정보를 책임지게 됩니다. 그렇게 되면 위의 첫번째 방식처럼 HTTP 요청을 탈취당할 경우 다 털리게 됩니다. 따라서 보안과는 상관없는 단순히 장바구니나 자동로그인 설정 같은 경우에는 유용하게 쓰입니다.
결과적으로 인증의 책임을 서버가 지게하기 위해 세션을 사용하는 겁니다(사용자가 해킹당하는 것보단 서버가 해킹당하는게 훨씬 어려우니까요!) 사용자(클라이언트)는 쿠키를 이용하고, 서버에서는 쿠키를 받아 세션의 정보를 접근하는 방식으로 인증을 합니다. -
익스프레스에서는 cookie-parser 미들웨어를 사용하면 쿠키를 설정하고 확인할 수 있습니다. 익스프레스에서는 세션을 지원하기 위해서, express-session 모듈을 사용합니다.
https://juni-dev-log.tistory.com/64
https://tansfil.tistory.com/58
https://velog.io/@jch9537/Node.js-Session-Cookie
