📚 TIL 24일차

오늘의 주요사항 (6/19, 월요일)

1. Spring 숙련 주차 발제

개인 과제가 한 번에 2개나 추가되었다................ 수강생을 죽이려는 고도의 수법 그런거 아닌가

Cookie & Session

/	쿠키(Cookie)	vs	세션(Session)
설명	클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일	-	서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용
저장 위치	클라이언트 (웹 브라우저)	-	웹 서버
사용 예)	사이트 팝업의 "오늘 다시보지 않기" 정보 저장	-	로그인 정보 저장
만료 시점	쿠키 저장 시에 만료 일시 설정 가능 (브라우저 종료 시에도 유지가 가능하다)	-	다음 조건 중 하나가 만족될 경우 만료 1. 브라우저 종료 시 2. 클라이언트 로그아웃 시 3. 서버에 설정한 유지기간까지 해당 클라이언트의 재요청이 없는 경우
용량 제한	브라우저마다 상이 (Chrome 기준) - 하나의 도메인 당 180개 - 하나의 쿠키 당 4KB(=4,096byte)	-	개수 제한 없음 (단, 세션 저장소 크기 이상 저장 불가능)
보안	취약함 (클라이언트에서 쿠키 정보를 쉽게 변경 및 삭제가 가능하여 가로채기 당할 수 있다)	-	비교적 안전 (서버에 저장되기 때문에 비교적 안전하다)

createCookie / getCookie

createCookie ← addCookie

@GetMapping("/create-cookie")
public String createCookie(HttpServletResponse res) {
	
    // value로 공백이 포함된 문자가 넘어갔음을 확인
    addCookie("Robbie Auth", res);

	return "createCookie";
}

Cookie 생성은 범용적으로 사용될 수 있기 때문에 static 메서드로 선언한다.

public static void addCookie(String cookieValue, HttpServletResponse res) {
	
    try {
    	// Cookie Value 에는 공백이 불가능해서 encoding 진행
		cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20"); 

		Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue); // Name-Value
        
        // Path 지정
		cookie.setPath("/");
        // 쿠키 만료 시간 지정
		cookie.setMaxAge(30 * 60);

		// Response 객체에 Cookie 추가
		res.addCookie(cookie);
            
	} catch (UnsupportedEncodingException e) {
		
		throw new RuntimeException(e.getMessage());    
	}
}

new Cookie() 메서드를 통해 Cookie에 저장될 Name과 Value를 받고, 받은 값들은 Cookie 객체의 생성자로 바운딩 되어 해당 값이 저장된 Cookie 객체가 생성된다.

HttpServletResponse 객체(res)에 생성한 Cookie 객체가 추가되어 브라우저로 반환되고, 반환된 Cookie는 브라우저의 쿠키 저장소에 저장된다.

getCookie

@GetMapping("/get-cookie")
public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {

	System.out.println("value = " + value);

	return "getCookie : " + value;
}

@CookieValue("Cookie의 Name") → Cookie의 Name 정보를 전달해주면 해당 정보를 토대로 Cookie의 Value를 가져온다.

JWT

JSON Web Token의 약자로, JSON 포맷을 이용하여 사용자에 대한 속성을 저장한다. 일반적으로는 쿠키 저장소를 사용해 JWT를 저장한다.

JWT 살펴보기 ▶ jwt.io

흐름)

1. Client 가 username(id), password 로 로그인 성공 시

2. 서버에서 "로그인 정보" → JWT 로 암호화 (Secret Key 사용)

3. 서버에서 직접 쿠키(Cookie)를 생성해 JWT를 담아 Client 응답에 전달

   • JWT 전달방법은 개발자가 정한다.

4. 브라우저 쿠키 저장소에 자동으로 JWT가 저장

JWT를 통한 인증 방법)

서버에서 API 요청 시마다 쿠키에 포함된 JWT를 찾아서 사용

Server →

1. Client 가 전달한 JWT 위조 여부 검증 (Secret Key 사용)

2. JWT의 유효기간이 지나지 않았는지 검증

3. 검증 성공 시, JWT에서 사용자 정보를 가져와 확인.
   ex) GET /api/products : JWT를 보낸 사용자의 관심상품 목록 조회