[Node.js] 쿠키/세션 (2023.07.06 ~ 07)

쿠키와 세션을 사용하는 이유

→ HTTP의 특성 때문

 

 

데이터를 주고받기 위해서는(요청, 응답) 연결을 유지되어야 함

그런데 요청, 응답이 끝났는데도 계속 연결을 유지한다는 것은 계속 자원을 쓴다는 것 → 비효율적 

그래서 HTTP는 비연결성의 특징을 가지고 있음

 

 

이로인해 파생되는 특징인 무상태(Stateless)

요청과 응답이 끝나는 순간 알고있었던 사용자의 데이터를 더이상 기억하지 않음!

 

이러한 이유로 사용자의 상태 정보를 유지하기 위해 쿠키와 세션이 필요함 

 

쿠키

유지해야하는 상태 정보를 보관

클라이언트(브라우저)에 저장

만료기간이 남아있으면 컴퓨터를 끄더라도 데이터가 저장되어 있음

 

 

생성은 서버에서, 보관은 클라이언트 쪽에서 진행하므로 응답할 때 쿠키를 포함시켜 응답해야 함

서버에서 클라이언트로 응답하는 과정에서 쿠키 데이터 노출될 수 있음 => 보안상 중요한 작업은 진행하지 않음

ex. 팝업창, 쇼핑몰 장바구니에서 활용

 

 

세션 

 

 

세션을 사용할 때 세션 쿠키를 같이 사용함 

세션에서 사용하는 쿠키는 사용자의 정보가 담겨져 있는게 아니라 클라이언트를 구별할 수 있는 값을 가지고 있음

세션은 사용자의 정보가 서버에 저장되어 있음

 

 

 

쿠키 : 사용자의 PC가 꺼지더라도 저장되어 있음

세션 : 서버 부하가 있을 수 있기 때문에 브라우저를 끄면 삭제됨 

 

세션 사용 방법

express-session 설치해야 사용할 수 있음 

 

 

쿠키 생성

res.cookie(key, value, {

    maxAge혹은expires,

    signed

}

 

서명 사용시 app에 cookieParser 설정 필요

 

쿠키 값 확인

req.cookie

 

쿠키 삭제 

res.clearCookie

 

세션 사용

세션을 사용하려면 사용하기 전에 express-session 설치 및 app.js에서 session 정보 설정 필요 

 

app.use(

  //아래 session 라우터 사용하기 전에 정의 필요

  session({

    httpOnly: true, //http 통신할 때만 허용

    secret: "secretkey", //암호화 키 설정

    resave: false, //세션에 수정사항이 없더라도 다시 저장할것인지에 대한 설정

    //세션 사용시 사용할 쿠키에 대한 설정

    cookie: {

      httpOnly: true,

    },

  })

); //express-session 사용

 

세션 생성/값 확인

req.session.키값 = "value"

 

세션 삭제 

req.session.destroy()

 

세션을 저장할 수 있는 스토리지

npm install session-file-store

 

 

클라이언트당 계속 생성

여러명의 클라이언트의 세션값을 저장할 때 사용