Flask(4)

On a regular basis·2021년 12월 8일

Flask TIL python

Eager to learn Flask 🔥

목록 보기

4/7

쿠키와 세션

🐤 쿠키

정보를 유지할 수 없는 Connectionless, Stateless의 성격을 가진 HTTP의 단점을 해결하기 위해 쿠키라는 개념이 도입!
웹 서버가 브라우저에게 지시하여 사용자의 로컬 컴퓨터에 파일 또는 메모리에 저장하는 작은 기록 정보 파일.
파일에 담긴 정보는 인터넷 사용자가 같은 웹사이트를 방문할 때마다 읽히고 수시로 새로운 정보로 바뀔 수 있음.
웹서버에서 response 할 때 헤더에 쿠키를 담아서 보내준다고 생각하면 됨!

🌈 쿠키의 동작 순서

클라이언트가 페이지를 요청한다. (사용자가 웹사이트 접근)
웹 서버는 쿠키를 생성한다.
생성한 쿠키에 정보를 담아 HTTP 화면을 돌려줄 때,
같이 클라이언트에게 돌려준다.
넘겨 받은 쿠키는 클라이언트가 가지고 있다가(로컬 PC에 저장)
다시 서버에 요청할 때 요청과 함께 쿠키를 전송한다.
동일 사이트 재방문시 클라이언트의 PC에 해당 쿠키가 있는 경우,
요청 페이지와 함께 쿠키를 전송한다.

쿠키에 대한 정보를 매 헤더(Http Header)에 추가하여 보내기 때문에 상당한 traffic을 발생.
결제정보등을 쿠키에 저장하였을때 쿠키가 유출되면 보안에 대한 문제점도 발생가능...!

🐤 세션

쿠키의 트래픽 문제와 쿠키를 변경하는 보안적 이슈를 해결하기 위해 등장.
일정 시간동안 같은 사용자(브라우저)로부터 들어오는 일련의 요구를 하나의 상태로 보고, 그 상태를 일정하게 유지시키는 기술. (여기서 일정 시간은 방문자가 웹 브라우저를 통해 웹 서버에 접속한 시점으로부터 웹 브라우저를 종료하여 연결을 끝내는 시점) 즉, 방문자가 웹 서버에 접속해 있는 상태를 하나의 단위로 보고 그것을 세션이라고 함.
웹 서버에 웹 컨테이너의 상태를 유지하기 위한 정보를 저장한다. 웹 서버의 저장되는 쿠키(=세션 쿠키). 브라우저를 닫거나, 서버에서 세션을 삭제했을때만 삭제가 되므로, 쿠키보다 비교적 보안이 좋다. 저장 데이터에 제한이 없다.(서버 용량이 허용하는 한...) 각 클라이언트 고유 Session ID를 부여한다. Session ID로 클라이언트를 구분하여 각 클라이언트 요구에 맞는 서비스 제공.

🌈 세션의 동작 순서

클라이언트가 페이지를 요청한다. (사용자가 웹사이트 접근)
서버는 접근한 클라이언트의 Request-Header 필드인 Cookie를 확인하여,
클라이언트가 해당 session-id를 보냈는지 확인한다.
session-id가 존재하지 않는다면, 서버는 session-id를 생성해 클라이언트에게 돌려준다.
서버에서 클라이언트로 돌려준 session-id를 쿠키를 사용해 서버에 저장한다.
쿠키 이름 : JSESSIONID
클라이언트는 재접속 시, 이 쿠키(JSESSIONID)를 이용하여 session-id 값을 서버에 전달.

쿠키와 세션 차이 (표!)

쓰면서 정리를 해보자면, 쿠키와 세션의 가장 큰 차이는 저장위치가 다르다는 점이다. 쿠키는 클라이언트 쪽에 저장이 되는 형태이고, 세션은 웹서버에 저장해서 확인하는 식으로 진행이 된다. 서버쪽에서 session_id를 확인하고 없으면 보내주고 있으면 해당 session_id를 찾아서 reponse를 만들어준다.

🐤 웹 페이지에서 폼을 전송받으며, 클라이언트에 쿠키를 넘겨주는 코드

# app.py

@app.route('/')
def index():
   return render_template('index.html')
   
@app.route('/setcookie', methods = ['POST', 'GET'])
def setcookie():
   if request.method == 'POST':
     user = request.form['nm']

     resp = make_response("Cookie Setting Complete")
     resp.set_cookie('userID', user)
   
   return resp
   
@app.route('/getcookie')
def getcookie():
    name = request.cookies.get('userID')
    return '<h1>welcome ' +name+ '</h1>'

if __name__ == '__main__':
    app.run(debug = True)

# 해당 폼은 /setcookie URL로 전송되는데 폼으로 데이터를 입력받을 경우, POST 메소드로 /setcookie에 오게 됨!

# index.html

<form action = "/setcookie" method = "POST">
         <p><h3>Enter userID</h3></p>
         <p><input type = 'text' name = 'nm'/></p>
         <p><input type = 'submit' value = 'Login'/></p>
      </form>

🐤 세션 코드

쿠키와 다르게 세션과 관련된 데이터는 서버에 저장된다. 서버에서 관리할 수 있다는 점에서 안전성이 좋아서 보통 로그인 관련으로 사용되고 있다. 플라스크에서 세션은 딕셔너리의 형태로 저장되며 키를 통해 해당 값을 불러올 수 있다. 세션을 사용하기 위해서는 해당 값을 암호화하기 위한 Key 값을 코드에서 지정해주어야 한다.

from flask import Flask, request, session, redirect, url_for
app = Flask(__name__)
app.secret_key = 'get some sleep'

# 세션 사용하려면 해당 값을 암호화해주기 위해 Key값을 코드에서 지정해줘야함. 
약간 나른한 오후니까 get some sleep으로 secret_key를 지정해주기 ㅎㅎㅎ

@app.route('/')
def index():
    if 'username' in session:
        username = session['username']
        return 'Logged in as ' + username + '<br>' + \
        "<b><a href = '/logout'>click here to log out </a></b>"

    return "you are not logged in <br><a href = '/loging'></b>" + \
        "click here to log in</b></a>"

# /URL: 조건문 if를 써서 flask 세션 정보안에 username이라는 세션 정보의 유무에 따라 로긴 했는지 안했는지 판단!
# 맨처음 http://127.0.0.1:5000/ 여기로 들어가면 else로 처리돼서 you are not logged in 처리 되는 것.

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if request.method == 'POST':
        session['username'] = request.form['username']
        return redirect(url_for('index'))
    return '''

    <form action = "" method = "post">
        <p><input type = text name = username></p>
        <p><input type = submit value = Login></p>
    </form>
    '''
# 실제 로그인하는 form이 있는 /login URL.
# 맨 첨 접속했을 때는 GET 메소드로 요청이 오니까 로긴하기 위한 폼 전송!
# 폼을 통해 POST 요청이 오면 username이라는 세션을 생성하여 입력받은 폼의 데이터를 세션 저장하고 맨 첨 페이지로 리다이렉션하기.

@app.route('/logout')
def logout():
    session.pop('username', None)
    return redirect(url_for('index'))

# 로그아웃도 해당 세션 정보를 제거하는 것으로 연결 끊기 가능. 세션 제거는 pop 메소드를 사용하면 됨!!
# 서버에 세션 값이 저장되어있기 때문에 브라우저를 껐다가 켜든, 여러개를 켜든 이미 로그인이 된 상태로 페이지가 보여짐.
# 해당 세션 ID 값은 클라이언트에 쿠키로 존재하며, 페이지에 들어갈 때마다 인증을 하게 되는데, 이 쿠키를 지워버리면 클라이언트 측면에서는 로그아웃과 같은 효과를 볼 수 있음.
# 서버 측의 세션 정보는 사라지지 않기 때문에 이미 사라져버린 세션을 계속 잡고 있게 된다. 플라스크에서도 이런 경우를 대비하여 각 세션의 유효기간이 정해져 있으며 아무 설정도 하지 않을 경우, 31일로 설정되어 있다.

if __name__ == '__main__':
    app.run(debug = True)

# 만약 직접 세션의 유효기간을 직접 설정하고 싶다면, 아래와 같은 함수를 추가해주면 된다.
from datetime import timedelta
from flask import session, app

@app.before_request
def make_session_permanent():
	session.permanent = True
    app.permanent_session_lifetime = timedelta(minutes=5)

세션을 print 해보았을 때 나오는 화면이다. 세션안에 있는 username의 형태가 저렇게 찍힌다. 웹서버에 저장된 username이 스텔라이니까 if 절에서 ok, 세션에 username을 username에 담고 로그인이 되었다고 해주는 것...!

/login을 해서 아이디 입력 후에 index로 redirect 되고 거기서 세션에 있는 username이랑 확인해보고 로그인이 된다. 아 순서 헷갈려... 쿠키와 세션에 대해 공부를 하는데 좀 더 친숙해질 필요가 있는 것 같다. 그래야 내가 flask 로직 짤 때도 좀 더 수월할 듯...! 복습하기 💪

출처1: https://hahahoho5915.tistory.com/32
출처2: https://blog.naver.com/shino1025/221355012951