🔍 Session

웹 앱에서 사용자가 인증에 성공한 상태, 즉, 서버와 클라이언트간의 연결이 활성화된 상태를 의미한다.

Session은 중요 데이터를 서버에서 관리하며, 클라리언트에는 세션 성공을 증명할 수단으로써 암호화된 유일한 ID(세션 아이디)를 부여한다.

이때, 로그인을 유지하기 위한 수단으로 쿠키를 사용하며, 쿠키에는 서버에서 발급한 세션 아이디를 저장한다.

따라서, 세션 아이디가 담긴 쿠키는 클라이언트에 저장되어 있고, 서버는 세션을 저장하고 있는데, 서버는 쿠키를 통해 세션 아이디를 전달받아 서버내의 세션 스토어에 해당 세션이 존재한다면 접근 가능하다고 판단한다.

이때, 세션 아이디로만 인증 여부를 판단하기 때문에 쿠키가 중간에 탈취될 경우, 해당 요청이 인증된 사용자의 요청이라고 판단하므로, 공공PC를 사용한 뒤 로그아웃을 해주어야 한다.

로그아웃의 경우, 서버는 클라이언트의 쿠키를 임의로 삭제할 수 없기 때문에 set-cookie 로 클라이언트에게 쿠키를 전송할 때, 세션 아이디의 키값을 무효한 값으로 갱신할 수 있다.

👀 Cookie vs Session

	설명	접속 상태 저장 경로	장점	단점
Cookie	HTTP의 sateless 보완	클라이언트	서버에 부담↓	인증 정보를 보관하기에는 안전하지 X
Session	접속상태를 서버가 가지며, stateful과 권한 부여를 위해 세션아이디를 쿠키로 전송한다.	서버	신뢰할 수 있는 유저인지 서버에서 추가로 확인 가능	하나의 서버에서만 stateful하기때문에 서버 분산에 불리

👀 express-session

Node.js에서 세션을 대신 관리해주는 모듈이다. 자세하게는, 세션을 위한 미들웨어로, express 서버에서 세션을 위한 공간을 쉽게 다룰 수 있도록 만들어준다.

const express = require('express');
const session = require('express-session');

const app = express();

app.use(
  session({
    secret: '@secretkey',
    resave: false,
    saveUninitialized: true,
    cookie: {
      domain: 'localhost',
      path: '/',
      maxAge: 24 * 6 * 60 * 10000,
      sameSite: 'none',
      httpOnly: false,
      secure: true,
    },
  })
);

`secret`옵션의 비밀키를 이용해 암호화한 세션 id를 생성하며, 클라이언트에게 쿠키로 전송한다.

생성된 세션 id는 서버에 저장되는데, 이때 세션 id는 유저별로 독립적으로 생성된 세션 객체를 갖기 때문에 유저별로 각각 다른 데이터를 저장할 수 있다.
따라서, client에 유저 정보가 있을 필요없이 서버가 클라이언트의 세션 id를 이용해 유저의 인증여부를 판단할 수 있게 되는 것이다.

• req.session으로 세션 객체에 접근할 수 있으며, 세션의 임의의 데이터를 저장하거나 불러올 수 있다.

Reference: 코드스테이츠