🎯 라우터와 컨트롤러를 분리하여 유지보수성을 높이고, crypto 내장 모듈을 통해 비밀번호를 암호화합니다.

📙 Today I Learned

패키지 설치 및 폴더 구조

추가 패키지

http-status-code 패키지를 설치하여 상태 코드를 변수명으로 참조할 수 있도록 합니다.

npm install http-status-code

프로젝트 구조

controller를 통해서 라우터는 경로 설정만 담당하고, 요청 처리는 컨트롤러를 통해 수행하도록 분리합니다.

📂 BOOK-SHOP
├── 📂 controller
│   ├── 📄 BookController.js
│   ├── 📄 CartController.js
│   ├── 📄 LikeController.js
│   ├── 📄 OrderController.js
│   └── 📄 UserController.js
├── 📂 node_modules
├── 📂 routes
│   ├── 📄 books.js
│   ├── 📄 carts.js
│   ├── 📄 likes.js
│   ├── 📄 orders.js
│   └── 📄 users.js
├── 📄 .env
├── 📄 app.js
├── 📄 package-lock.json
└── 📄 package.json

🤔 왜 컨트롤러는 PascalCase로 작성할까?

컨트롤러 파일은 클래스처럼 하나의 객체처럼 특정 역할을 수행하는 모듈로서의 역할을 구분하기 때문에 가독성 관리를 위해서 주로 PascalCase로 작성하게 됩니다.

users TABLE 수정

Table users {
  id integer [primary key]
  email varchar
  password varchar
  salt varchar
}

Salt(솔트)

같은 비밀번호라도 매번 다른 해시값을 만들기 위해 추가하는 랜덤 문자열입니다.

---

회원 API 수정

👉 수정한 부분은 주황색 글씨로 나타냅니다.

회원 가입

• Method : POST

• URL : /users/join

• HTTP Status Code : 201 Created

• Request Body

  {
    "email": "사용자가 입력한 이메일",
    "password" : "사용자가 입력한 비밀번호"
  }

• Response Body : x

로그인

• Method : POST

• URL : /users/login

• HTTP Status Code : 200 Ok

• Request Body

  {
    "email": "사용자가 입력한 이메일",
    "password" : "사용자가 입력한 비밀번호"
  }

• Response Cookie : JWT Token

비밀번호 초기화 요청

• Method : POST

• URL :/users/rest

• HTTP Status Code : 200 Ok

• Request Body

  {
    "email": "사용자가 입력한 이메일"
  }

• Response Body

  {
    "email": "사용자가 입력한 이메일"
  }

비밀번호 초기화

• Method : PUT

• URL : /users/rest

• HTTP Status Code : 200 Ok

• Request Body

  {
    "email": "이전 페이지에서 입력한 이메일",
    "password" : "사용자가 입력한 비밀번호"
  }

• Response Body : x

---

UserController.js

const conn = require('../mariadb');
const { StatusCodes } = require('http-status-codes');
const jwt = require('jsonwebtoken');
const crypto = require('crypto');
const dotenv = require('dotenv');
dotenv.config();

const join = (req, res) => {
  const { email, password } = req.body;

  // 암호화된 비밀번호와 salt 값을 같이 DB 저장
  const salt = crypto.randomBytes(10).toString('base64');
  const hashPassword = crypto
    .pbkdf2Sync(password, salt, 10000, 10, 'sha512')
    .toString('base64');

  const sql = 'INSERT INTO users (email, password, salt) VALUES(?, ?, ?)';
  const values = [email, hashPassword, salt];
  conn.query(sql, values, (err, result) => {
    if (err) {
      return res.status(StatusCodes.BAD_REQUEST).end();
    }

    res.status(StatusCodes.CREATED).json(result);
  });
};

const login = (req, res) => {
  const { email, password } = req.body;

  const sql = 'SELECT * FROM users WHERE email = ?';
  conn.query(sql, email, (err, result) => {
    if (err) {
      return res.status(StatusCodes.BAD_REQUEST).end();
    }

    const loginUser = result[0];

    const hashPassword = crypto
      .pbkdf2Sync(password, loginUser.salt, 10000, 10, 'sha512')
      .toString('base64');

    if (loginUser && loginUser.password === hashPassword) {
      const token = jwt.sign(
        {
          email: loginUser.email,
        },
        process.env.PRIVATE_KEY,
        {
          expiresIn: '5m',
          issuer: 'eunmi',
        }
      );

      res.cookie('token', token, {
        httpOnly: true,
      });

      console.log(token);

      return res.status(StatusCodes.OK).json(result);
    } else {
      return res.status(StatusCodes.UNAUTHORIZED).end();
    }
  });
};

🔒 암호화 과정

회원가입, 로그인 로직에서는 PBKDF2(Password-Based Key Derivation Function 2) 를 사용하여 비밀번호를 암호화하였습니다.

1. salt 생성

const salt = crypto.randomBytes(10).toString('base64');

• crypto.randomBytes(10) : 10바이트 크기의 랜덤 값을 생성합니다.

• toString('base64') : Base64 인코딩하여 문자열로 변환합니다. ( 이진 데이터를 사람이 읽을 수 있는 문자열로 변환하는 과정 )

2. PBKDF2를 이용한 비밀번호 해싱

const hashPassword = crypto
  .pbkdf2Sync(password, salt, 10000, 10, 'sha512')
  .toString('base64');

• pbkdf2Sync(원본 비밀번호, salt, 반복 횟수, 출력 길이, 해시 알고리즘)

  • password : 사용자가 입력한 원본 비밀번호

  • salt : 위에서 생성한 랜덤 솔트

  • 10000 : 해싱을 반복하는 횟수 (반복 횟수가 높을수록 해킹 시도에 대한 저항력이 증가)

  • 10 : 최종 해시값의 길이 (바이트 단위)

  • sha512 : SHA-512 해시 알고리즘

🤔 왜 DB에 hashPassword와 salt를 같이 저장해야할까?

같이 저장해야 로그인 시에 같은 솔트를 사용해서 암호화된 비밀번호와 비교할 수 있기 때문입니다.

---

✏️ 한 줄 회고

암호화에 대한 개념을 이해하면서 보안의 중요성을 다시금 깨달았습니다.