express session 라이브러리(미들웨어) 사용
쿠키 설정
app.use(
session({
secret: '@lalala',
resave: false,
saveUninitialized: true,
cookie: {
domain: 'localhost',
path: '/',
maxAge: 24 * 6 * 60 * 10000,
sameSite: "None",
httpOnly: true,
secure: true,
},
})
);sameSite: Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정하게 된다.
- Lax : Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 있다.
- Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있다.
- None : 항상 쿠키를 보내줄 수 있다. 쿠키 옵션 중 Secure 옵션이 필요하다.
httpOnly: 자바스크립트에서 브라우저의 쿠키 접근 여부를 결정한다. 명시되지 않는 경우 기본으로 false로 지정되어 있다.
만약 이 옵션이 false인 경우 자바스크립트에서 쿠키에 접근이 가능하므로 'XSS' 공격에 취약하다.
secure: 쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정한다.
만약 해당 옵션이 true로 설정된 경우, 'HTTPS' 프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있다.
id키는 이미 있었다 ㅎㅎ
session에 유저id를 넣고싶어서 id키를 넣었는데 계속 결과가 이상해서 보니까, req.session에 기본으로 id키가 생겨서 userId로 이름을 바꿔서 새로운 키를 넣어주었다.
withCredentials 옵션
header설정을 보내주기 때문에 꼭 작성해주어야한다.
withCredential : true를 작성해주어야 쿠키를 넣어줄 수 있다.
req.session.save
req.session.save(function(err) {
// session saved
})세션에 저장을 할 수 있는 메서드다.
참고
DONE is better than PERFECT