IM: DAY 52

Authentication: DAY ONE 🔐

오늘

• Toy Problem
• https
  • mkcert
  • ngrok
• session
  • express-session
• cookie

기억해둘 것

session 삭제

req.session.destroy();

session 인증이 들어간 axois 통신 사용 시 클라이언트와 서버 설정하기

session 인증이 들어간 axios 통신 시 인증 cookie 값을 전달하기 위해서는 반드시 아래 설정을 추가해주어야 한다.

const axios = require('axios');
axios.defaults.withCredentials = true;

이 때, 서버의 cors 설정에서 Access-Control-Allow-Origin이 * 일 경우 request의 credentials mode가 지원되지 않기 때문에 에러가 발생한다.
➡ 각 서버의 호스트 정보를 cors 설정에 추가해주면 된다.

// server/index.js
const express = require("express");
const app = express();
const cors = require("cors");

app.use(
  cors({
    origin: 'https://localhost:3000', //클라이언트가 어떤 origin인지에 따라 설정
    methods: 'GET,POST,OPTIONS',
    preflightContinue: false,
    optionsSuccessStatus: 204,
    credentials: true,
  }),
);

🔗 Reference https://lahuman.github.io/cors_axios_session/

Set-Cookie : Expires & Max-Age - 쿠키의 수명 결정

Set-Cookie는 서버에서 사용자 브라우저에 쿠키를 전송하기 위해 사용되는 HTTP 응답 헤더다.

Set-Cookie 에 들어가는 요소들 중 Expires와 Max-Age가 쿠키의 수명(?)을 결정한다.

• Max-age는 Expires와 비슷하지만 날짜 대신 초(sec)를 입력할 수 있다. 해당 초가 지나면 쿠기가 만료된다.
• Expires에 명시된 날짜에 쿠키가 만료(삭제)된다.
  설정하지 않으면 default 값으로 session이라고 표현되는데 브라우저를 끄는 시점에 만료된다는 뜻이다.
• Max-age와 Expires가 둘 다 명시되지 않으면 쿠키는 영속성을 가진다. 즉, 쿠키는 자동으로 만료되지 않는다.
• Max-age와 Expires가 둘 다 설정되어있는 경우, Max-age가 Expires보다 우선시 된다.

더 공부할 것들

• Password hashing (Adding Salt)
• 안전한 패스워드 저장

내일

• Toy Problem
• Token