Session & Session-based Authentication 의 동작 과정

📌  Session ?

 

클라이언트가 서버에 data 를 저장할 수 있는 방법 중 하나로, 특정 저장 공간을 의미한다.

session 은 특별한 경우가 아니라면 사용자가 웹 브라우저를 접속한 시점부터 종료하는 시점까지 유지된다.

 

 

📌  Session-based Authentication 동작 과정 ?

 

 

 

📎  express-session 모듈

 

// express-session 모듈

const express = require('express');
const session = require('express-session');

const app = express();

app.use(
  session({
    secret: ,
    resave: ,
    saveUninitialized: ,
    .
    .
    .
    cookie: {
      domain: ,
      path: ,
      maxAge: ,
      sameSite: ,
      httpOnly: ,
      secure: ,
      .
      .
      .
    }
  })
);

 

express-session 사용법

 

서버를 생성하면서 session 미들 웨어를 삽입해주면, 서버 측에 data 를 저장할 수 있는 session 이 생성된다.

 

// controller/users/login.js

// DB에서 불러온 Users TABLE
const { Users } = require('../models');  // (model/index.js)

module.exports = {
  post: async (req, res) => {
    // Users 테이블에서 요청과 일치하는 정보를 query 해온다.
    const userInfo = await Users.findOne({
      where: { userId: req.body.userId, password: req.body.password },  
    });
    
    if(!userInfo){
      // 등록된 회원이 아니라면 접근 불가하다고 알려준다.
      res.status(401).send({ data: null, message: 'not authorized' });
    }
    else{
      // 등록된 회원이라면 세션에 세션 아이디 값을 넣어준다.
      // 여기선 세션 아이디를 그냥 일반 값으로 넘겨줬지만, 암호화해서 넘겨주는 경우가 많다.
      req.session.session_id = userInfo.userId;
      // 세션에 세션 아이디를 넣어줬다면 일치하는 회원 정보를 body에 담아 응답한다.
      res.status(200).json({ data: userInfo, message: 'ok' });
    }
  }
};

 

DB 에서 원하는 정보를 가져와 session ID 와 함께 응답해준다.

 

 

 

// controller/users/userinfo.js

// DB에서 불러온 Users TABLE
const { Users } = require('../models');  // (model/index.js)

module.exports = {
  get: async (req, res) => {
    // 요청에 session_id 값이 포함되어 있지 않다면,
    if(!req.session.session_id){
      // 등록된 회원의 정보는 없으므로, 승인을 거부한다.
      res.status(400).send({ data: null, message: 'not authorized' });
    }
    else {
      // session_id 값을 가지고 있다면,
      // session_id 값과 일치하는 정보가 담긴 회원 정보를 불러온다.
      // 서버 세션에 모든 정보가 저장되어 있으므로, 서버에서 비교가 진행된다.
      const userData = await Users.findOne({
        where: { userId : req.session.session_id.userId },
      });
      // 일치하는 정보를 담아 응답한다.
      res.status(200).json({ data: userData.dataValues, message: 'ok' });
    }
  },
};

 

로그인 후 ( session ID 를 취득한 후 ) 회원 정보를 얻을 때

클라이언트가 보낸 요청에 들어있는 session ID 와 서버에 저장된 session ID 를 대조하여 일치하는 정보를 반환한다. !-!

 

 

 

 

 

 

📍  추가 질문 사항

 

코드를 보면, session 에 session_id 를 저장하는 부분은 있어도

클라이언트에게 ( set-cookie 를 이용하든 req.cookie( ) 를 이용하든 ) cookie 로 전달해주는 부분은 없다.

따로 구현하지 않아도 되는건지 내가 빼먹은 건지 알아볼 것

 

->  스스로 내린 결론

 

express-session 을 이용해 생성한 session 객체 안에 cookie 정보가 포함되어있는데,

이를 session-cookie 로 통합해서 봐야할 것 같다.

그래서 서버쪽에서 따로 쿠키를 설정하지 않아도 session 안에 원하는 키와 값을 넣어주면 

자동으로 클라이언트에게 전송될 쿠키가 생성되는 것 아닌가 ...! 추측 .

express-session 작동과정을 정확히는 모르겠다. 요청과 응답 사이를 뜯어보는 수밖에.