🍦 Immersive FullStack

미숙한 초보 코딩.Js·2019년 8월 21일

immersive

목록 보기

14/22

🍔 전체적인 구조

🥘 Encryption

일련의 정보를 임의의 방식을 사용하여 다른 형태로 변경시키는 것
소유자 외에 이해할 수 없도록 '알고리즘'을 이용해 정보 전달

🍨 Hashing

어떠한 문자열에 '임의의 연산'을 저용하여 다른 문자열로 변환 (암호화)

해시 값 계산이 오래 걸리지 않아야한다.
최대한 해시 값을 피하며, 각자 고유의 해시 값을 가져야한다.
작은 단위 변경에도 '완전' 다른 해시 값을 가져아한다.

🍤 Salt

해시 하려는 원본에 또 추가흐는 값
기존 : 암호화 하려는 값 => hash 값
Salt : 암호화 하려는 값 + Salt 값 => hash 값

🍜 Crypto (NodeJS)

	const hahs = crypto.createHmac('암호화 방식', '암호화 Key')
    				   .update('Hashing 할 값')
    				   .digest('output type') // hex

세션의 동작 순서
1. 클라이언트가 서버에 처음으로 Request를 보냄 (첫 요청이기 때문에 session id가 존재하지 않음)
2. 서버에서는 session id 쿠키 값이 없는 것을 확인하고 새로 발급해서 응답
3. 이후 클라이언트는 전달받은 session id 값을 매 요청마다 헤더 쿠키에 넣어서 요청
4. 서버는 session id를 확인하여 사용자를 식별
5. 클라이언트가 로그인을 요청하면 서버는 session을 로그인한 사용자 정보로 갱신하고 새로운 session id를 발급하여 응답
6. 이후 클라이언트는 로그인 사용자의 session id 쿠키를 요청과 함께 전달하고 서버에서도 로그인된 사용자로 식별 가능
7. 클라이언트 종료 (브라우저 종료) 시 session id 제거, 서버에서도 세션 제거

세션의 특징

세션 아이디는 브라우저 단위로 저장되고 브라우저 종료시 소멸됩니다.

로그인한 사용자에 대해서만 세션을 생성하는 것이 아닙니다.
따라서 로그아웃하면 새로운 사용자로 인식해서 새로운 세션이 생성됩니다.

사용자가 로그인 했는지, 닉네임 등의 사용자가 요청 할 때 마다
필요한 정보들을 세션에 담아두면 사용자 디비에 접근할 필요가 없어서 효율적입니다.

🎂 Session (Client 와 Server가 서로 통신하는 경로)

사용자의 정보를 사용자 쪽이 아닌 서버 상에서 관리(저장)한다.
서버와 클라이언트의 연결이 활성화 된 상태
서버가 Client에 대해 유일한 ID를 부여하여 서버 측에서 관리
각 Client ID의 Session 객체 마다 Data를 관리 할 수 있음
보안상 중요한거는 서버에서 관리

사이트를 열때 Session이 활성화 되어 Client ID를
주면서 오픈하게해준다.

사용자의 정보를 사용자 메모리(브라우저)에서 관리한다.
서버가 사용자의 위치에 정보를 저장하고 불러올수 있는 수단
이름, 값, 만료 날짜, 경로 정보

클라이언트가 처음에 서버에 들어오면 서버는 쿠키를 생성해서
response로 주면서 쿠키도 같이 주고 다음번에 클라이언트가
요청할때 받았던 쿠키를 request로 보내면서 형식에 맞춰서 물어본다고
생각하면 될 것 같습니다.

세션은 서버에서 가지고 있는 정보이고, 쿠키는 사용자에게 발급된 세션을
열기위한 열쇠라고 생각하시면 될것 같습니다.

🍙 Token (Session을 인증하기 위한 정보)

인증을 위해 사용되는 암호화 된 문자열

Http 통신의 Stateless 특징과 알맞다. (연결된 상태에 따라 교류가능이라)

유저의 인증 정보를 서버나 세션에 담아두지 않음

유저의 활성화 여부를 신경쓰지 않고 넘겨진 요청에 담겨진 Token의 정합성확인