기본 콘텐츠로 건너뛰기

[node.js] 세션(session)을 활용한 인증(auth) 시스템 구축

제목이 거창하다 ㅋㅋㅋㅋㅋ 

session을 활용하여 인증 시스템을 구축하려고 한다.

session이란?
 -session은 저번에 쓰려다가 쓰지 못한 기능이다.
 (네 그렇습니다 약 2달전에 session을 쓰려다가 쓰지 못했습니다. 하하) 장난이고,

 session은 cookie와 같이 사용자를 인증하는 방식입니다.
사용자를 인증하는 방식은 auth1.0, 2.0방식으로 나뉩니다.
1.0방식은 복잡하지만 안전, 2.0방식은 간단하지만 1.0보다 불안전하다고 합니다.(더 자세한 내용은 다음번에)

Session vs Cookies
이 둘의 차이점은 크게 저장 되는 지역이 다릅니다.
session은 서버의 메모리에 저장.
cookie는 클라이언트의 로컬 저장소에 저장이 됩니다. 그렇다면 이를 확인해 보자.
아주 간단하게 f12를 통해 확인이 가능하다.

또한 쿠키는 header객체 안에 cookies 라는 놈이 전송을 하게된다.
1
2
3
 
console.log(res.header.cookies);
 
cs



쿠키는 클라이언트 로컬 저장소에 저장이 되기 때문에 이렇게 확인이 가능하다.

머 암튼 이런식으로 뜬다.
이것들은 쿠키가 되겠다. 이러한 쿠키들은 노출이 될 수 있다. 특히 Cross Site Script 공격을 통해서도 쉽게 노출이 가능하다.
만약 인증 쿠키가 노출 된다면, 해커는 이 쿠키를 통해 인증이 가능하다.

session은 서버측에서만 저장을 하고 있기 때문에 cookies 보다는 안전하다고 생각한다.(뭔가 이것도 우회하는 방식이 있겠지 ㅋㅋㅋ 항상 100% 안전한 방식은 없다고 생각한다.)

그렇다면 node.js에서는 session을 어떻게 구현하는지 알아보자.

모듈설치
npm install cookie-parser --save
npm install express-session --save

모듈선언
var cookieParser = require('cookie-parser');
var session = require('express-session');

이렇게 설치 및 선언을 했으니 미들웨어에 추가를 해주자.
app.use(cookieParser("3CCC4ACD-6ED1-4844-9217-82131BDCB239"));
app.use(session({secret:"2C44774A-D649-4D44-9535-46E296EF984F"}));

여기서 express의 4.x와 3.x 버전에 따라 약간의 사용법이 다르다.위와 같은 방법이 되자 않으면
app.use(express.cookieParser("3CCC4ACD-6ED1-4844-9217-82131BDCB239"));
app.use(exress.session({secret:"2C44774A-D649-4D44-9535-46E296EF984F"}));
과같이 수정을 하도록 하자.

session은 cookie를 이용하기 때문에 cookieParser 아래에 선언이 되야한다.
이렇게 하면 모든 준비가 끝이 났다.


1
2
3
4
5
6
7
8
9
10
11
12
13
control.get('/',function(req,res){
         req.session.name='a';
         res.end();
 });
 control.get('/a',function(req,res){
         console.log(req.session.name);
         res.end();
 });
 
 control.get('/d',function(req,res){
         req.session.destory();
 });
 
cs
3개의 경우를 만들어 보자.

첫번째 경우
/절대 경로로 접속
session.name에 값을 저장

두번째 경우
/a 경로로 접속
session값 출력

세번째 경우
/d 경로로 접속
session 삭제


3개의 경우에서 테스트를 해보겠다.
이때 중점적인 테스트 방향은 2개의 다른 디바이스에서 접속하는 경우이다.

PC를 통해 접속

초기에 /를 접속하여 session을 만들어 주고 /a를 통해 session을 출력해 주었다.

모바일 접속

/a 경로를 통해 접속을 한 결과 undefined가 뜨게 된다.

이렇게 기기에 따라 session정보를 각기 다르게 저장을 하게된다.

session 정보 삭제


이거 먼거 destory가 잘 안먹는 경우가 있다 이럴땐 약간의 가라를 이용하여 res.session.name=""; 이런식으로 그냥 없애버리자 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ



destory()가 cookie만 없애주나? ㅋㅋㅋㅋ

댓글

댓글 쓰기

이 블로그의 인기 게시물

[git] git log 확인하기

git log를 통해서 커밋 이력과 해당 커밋에서 어떤 작업이 있었는지에 대해 조회를 할 수 있다. 우선 git에서의 주요 명령어부터 알아보겠다. $ git push [branch name] $ git pull [branch name] 여기서 branch name은 로컬일 경우 해당 브런치 이름만 적으면 되지만 깃허브 원격 저장소로 연결을 원할 경우는 해당 브런치 이름 앞에 꼭 origin을 붙이도록 한다. $ git brnch [branch name] $ git checkout [branch name] branch일경우 해당 브런치를 생성을 한다. 여기서 현재의 브런치를 기준으로 브런치를 따는것이다. checkout은 브런치를 바꾸는 것이다.(HEAD~[숫자]를 이용하면 해당 커밋으로 움직일수 있다.. 아니면 해당 커밋 번호를 통해 직접 옮기는것도 가능하다.) -> 해당 커밋으로 옮기는 것일뿐 실질적으로 바뀌는 것은 없다. 해당 커밋으로 완전히 되돌리려면 reset이라는 명령어를 써야한다. 처음 checkout을 쓰면 매우 신기하게 느껴진다. 막 폴더가 생겼다가 지워졌다가 ㅋㅋㅋㅋㅋ  master 브런치에서는 ht.html파일이 존재하지만 a브런치에서는 존재하지않는다. checkout 으로 변경을 하면 D 로 명시를 해준다.  $ git log 해당 브런치의 커밋 내역을 보여준다. a 브런치의 커밋 내역들이다. (머지 테스트를 하느라 커밋 내용이 거의 비슷하다 ㅋㅋ) master 브런치의 커밋 내역들이다. 커밋 번호, 사용자, 날짜, 내용순으로 등장을 한다. 이건 단순히 지금까지의 내역을 훑어보기 좋다. 좀더 세밀한 내용을 봐보자. $ git log --stat --stat을 붙이면 기존의 로그에서 간략하게 어떤 파일에서
댓글 쓰기
자세한 내용 보기

[git] pull을 하여 최신코드를 내려받자

보면 먼가 로고가 다르게 뜨는것을 확인을 할 수가있다. C:\Users\mung\Desktop\etc\study\python-gene>git checkout remotes/origin/master Note: checking out 'remotes/origin/master'. You are in 'detached HEAD' state. You can look around, make experimental changes and commit them, and you can discard any commits you make in this state without impacting any branches by performing another checkout. If you want to create a new branch to retain commits you create, you may do so (now or later) by using -b with the checkout command again. Example:   git checkout -b HEAD is now at 29e282a... fetch test C:\Users\mung\Desktop\etc\study\python-gene>git branch * (HEAD detached at origin/master)   master   test1   test2 깃이 잘 쓰면 참 좋은놈인데 어지간히 쓰기가 까다롭다. 처음에 깃을 푸시 성공하는데만 한달정도 걸렸던걸로 기억이 난다.. ㅋㅋㅋ 여담으로  깃 프로필을 가면 아래사진 처럼 보인다. 기여도에 따라서 초록색으로 작은 박스가 채워지는데 저걸 잔디라고 표현을 한다고 합니다 ㅎ 저 사진은 제 깃 기여도 사진입니당 ㅋㅋㅋㅋ 다시 본론으로 돌아와서 ㅋㅋ pull을 하면 깃에 최신 소
댓글 쓰기
자세한 내용 보기

[kali linux] sqlmap - post요청 injection 시도

아래 내용은 직접 테스트 서버를 구축하여 테스트 함을 알립니다.  실 서버에 사용하여 얻는 불이익에는 책임을 지지 않음을 알립니다. sqlmap을 이용하여 get요청이 아닌 post요청에 대해서 injection공격을 시도하자. 뚀한 다양한 플래그를 이용하여 DB 취약점 테스트를 진행을 해보려고 한다. 서버  OS : windows 7 64bit Web server : X Server engine : node.js Framework : expresss Use modules : mysql Address : 172.30.1.30 Open port : 6000번 공격자 OS : kali linux 64bit use tools : sqlmap Address : 172.30.1.57 우선 서버측 부터  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 var  express  =  require( 'express' ); var  app  =  express(); var  mysql  =  require( 'mysql' ); var  ccc  =  mysql.createConnection({     host: '127.0.0.1' ,     user: 'root' ,     post: '3306' ,     password: '*********' ,     database: 'test' }) app.post(
댓글 쓰기
자세한 내용 보기