세션(Session)

---

세션

• 일정 시간동안 같은 클라이언트로부터 들어오는 요구를 하나의 상태로 보고, 그 상태를 일정하게 유지시키는 기술이다.
• HTTP는 무상태(stateless)이기 때문에 로그인 상태를 유지시키기 위해 사용하는 기술 중 하나이다.

세션의 특징

• 세션ID는 웹 브라우저 당 1개씩 생성되며 브라우저 종료시 소멸된다.
  로그아웃하면 새로운 사용자로 인식해서 새로운 세션이 생성된다.
• 쿠키보다 비교적 보안이 좋다.
• 쿠키에 세션ID를 담아 클라이언트에게 보내고, 보안을 위해 httpOnly, secure 같은 옵션을 사용한다.
• 서버 용량이 허용하는 한 저장 데이터에 제한이 없다.
• 보안 인증 정보는 서버에 저장된다.

세션 흐름

1. 클라이언트➡️서버 // 사용자가 로그인을 한다.
2. 서버➡️데이터베이스 // 입력받은 ID, 비밀번호가 데이터베이스에 존재하는지 확인한다.
3. 데이터베이스➡️서버 // 존재한다면 세션ID를 반환한다.
4. 서버➡️클라이언트 // 암호화한 세션ID를 쿠키에 담아 응답한다.

5 ~ 8 이후 사용자 ID, 비밀번호가 아닌 쿠키에 담긴 세션ID로 사용자를 확인한고 동작한다.

!! HTTPS 흐름 중 7 ~ 8 부분이다 !!

세션 구현

세션 설정

session({
    secret: '@codestates',
    resave: false, // 세션을 항상 저장할지 설정
    saveUninitialized: true, // 세션이 저장되기 전 uninitialized 상태로 저장
    cookie: {
      domain: 'localhost', // 쿠키를 보낼 주소
      path: '/', // URL 경로
      maxAge: 24 * 6 * 60 * 10000, // 쿠키 유효시간
      sameSite: 'None', // 쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정
      // Strict : same-site 인 경우에만 쿠키를 전송 가능
      // Lax : GET 메소드인 경우에만 쿠키 전송 가능
      // None : 뭐든 쿠키 전송 가능 -> secure: true 필수
      httpOnly: true, // 클라이언트 스크립트가 쿠키를 못보게 함 (document.cookie) -> 보안강화
      secure: true, // HTTPS일 경우에만 쿠키를 전송
    },
  })

cors 설정

cors({
    // origin: 'https://localhost:3000',
    origin: true,
    methods: ['GET', 'POST', 'OPTIONS'],
    credentials: true, // 다른 도메인간 자격증명(credential, 쿠키 포함)을 전송할지 여부
  })

credential은 여기를 참고하자

login

module.exports = {
  post: async (req, res) => {
    // userInfo는 유저정보가 데이터베이스에 존재하고, 완벽히 일치하는 경우에만 데이터가 존재합니다.
    // 만약 userInfo가 NULL 혹은 빈 객체라면 전달받은 유저정보가 데이터베이스에 존재하는지 확인해 보세요

    const userInfo = await Users.findOne({
      where: { userId: req.body.userId, password: req.body.password },
    });
    // console.log(userInfo);
    
    if (!userInfo) {
      // TODO: 유저 정보가 존재하지 않는 경우
      res.status(400).send({ message: 'not authorized' });
    } else {
      // TODO: 결과가 존재하는 경우 세션 객체에 userId가 저장되어야 합니다.
      // HINT: req.session을 사용하세요.
      req.session.userId = req.body.userId;
      //console.log(req.session);
      // TODO: 유저 정보가 존재하는 경우
      res.status(200).json({ data: userInfo, message: 'ok' };
    }
  },
};

logout

module.exports = {
  post: (req, res) => {
    // TODO: 세션 아이디를 통해 고유한 세션 객체에 접근할 수 있습니다.
    // 앞서 로그인시 세션 객체에 저장했던 값이 존재할 경우, 이미 로그인한 상태로 판단할 수 있습니다.
    // 세션 객체에 담긴 값의 존재 여부에 따라 응답을 구현하세요.
    // console.log(req.session);
    if (!req.session.userId) {
      res.status(400).send("not authorized");
    } else {
      // TODO: 로그아웃 요청은 세션을 삭제하는 과정을 포함해야 합니다.
      req.session.destroy(); // ! session.destroy() 메소드 사용시 세션 파괴함
      res.json("ok");
    }
  },
};