1. Session과 JWT 개념
- Session과 JWT(JSON Web Token)은 모두 사용자 인증 및 식별에 사용되는 기술입니다.
- 세션은 사용자가 로그인하면 서버에서 세션을 생성하고 사용자의 상태 정보를 서버에 저장합니다. 클라이언트는 서버에 저장된 세션 정보를 통해 인증을 유지합니다
- JWT는 사용자가 로그인하면 서버는 JWT를 발급하고 클라이언트에게 전달합니다. 클라이언트는 이 JWT를 갖고 서버에 요청을 보내며, 서버는 JWT를 검증하여 사용자를 인증합니다.
- 세션은 서버에 상태를 유지하므로 서버 부하가 발생할 수 있고, 세션을 사용하려면 서버가 중앙 집중식으로 상태를 관리해야 하는 점을 고려해야 합니다.
- JWT는 토큰이 탈취될 경우 보안에 취약할 수 있습니다. 또한, 토큰의 크기가 크고, 한 번 발급되면 변경이 불가능하므로 만료 기간을 적절히 설정해야 합니다.
2. Session 구현
- 우선 app.js를 아래와 같이 수정하여 express-session 모듈을 추가해줍니다.
const express = require("express");
const session = require("express-session");
const app = express();
const port = process.env.PORT || 3000;
app.use(express.json());
app.use(express.urlencoded({ extended: true }));
app.use(
session({
secret: "1q2w3e4r!",
resave: false,
saveUninitialized: true,
})
);
app.use("/customer-api", require("./api/customers/customerController"));
app.listen(port, () => {
console.log(`Example app listening on port ${port}`);
});
- 그리고 컨트롤러 부분에 아래와 같이 로그인 기능을 구현합니다.
- 일반적으로는 ID와 Password를 이용해 로그인 기능을 구현하지만, 현재 DB에는 해당 정보가 없기 때문에 e-mail을 통한 로그인 방식으로 구현합니다.
router.post("/v1/login", async (req, res) => {
const email = req.body.email;
const customer = await customerService.getCustomerByEmail(email);
if (!customer) {
res.status(404).send();
} else {
req.session.email = req.body.email;
res.json(customer);
}
});
- 위에 코드에서 사용된 getCustomerByEmail는 아래와 같이 구현합니다.
const getCustomerByEmail = async (email) => {
try {
const customer = await Customer.findOne({ where: { email: email } });
return customer;
} catch (error) {
throw new Error("Error getting customer by email:", error);
}
};
- 위의 과정을 통해 로그인을 진행하게 되면 서버에 세션정보를 저장하게 됩니다.
- 이제 해당 세션을 통해 인증하는 과정을 구현해보겠습니다. lib 디렉토리에 session.js를 생성하고 아래와 같이 작성해 줍니다.
const isAuthenticated = (req, res, next) => {
if (req.session && req.session.email) {
return next();
} else {
res.status(401).send();
}
};
module.exports = {
isAuthenticated,
};
- 그리고 컨트롤러에서 인증이 필요한 라우터에 해당 미들웨어를 추가해줍니다.
/** 모든 고객 정보 가져오기 */
router.get("/v1/customer", isAuthenticated, async (req, res) => {
try {
const customers = await customerService.getAllCustomers();
res.json(customers);
} catch (error) {
console.error(error);
res.status(500).json({ error: "Internal Server Error" });
}
});
/** 특정 고객 정보 가져오기 */
router.get("/v1/customer/:customerId", isAuthenticated, async (req, res) => {
const customerId = Number(req.params.customerId);
const customer = await customerService.getCustomerById(customerId);
if (!customer) {
res.status(404).send();
}
res.json(customer);
});
- 해당 서버에 로그인 정보 없이 고객정보에 접근하려고 하면 401에러가 발생합니다.
- 없는 메일으로 로그인하면 404에러가 발생하고
- 고객정보에 접근하면, 정상적으로 조회할 수 있습니다.
- 해당 기능을 고도화한다면, 타인의 정보는 접근 할 수 없고 본인 정보에만 접근 할 수 있게끔 수정 할 수도 있겠습니다.
- 참고로 postman에서 send아래 있는 cookies버튼을 눌러, 통신하고 있는 도메인을 추가해야 정상적인 테스트가 가능합니다.
3. JWT 구현
- lib디렉토리에 jwt.js파일을 생성하고 아래와 같이 작성합니다.
const jwt = require("jsonwebtoken");
const secretKey = "1q2w3e4r!";
function generateToken(payload) {
return jwt.sign(payload, secretKey, { expiresIn: "1h" });
}
function authenticateToken(req, res, next) {
const token = req.headers["authorization"];
if (!token) {
return res.status(403).json({ error: "Forbidden(Token)." });
}
jwt.verify(token, secretKey, (err, decoded) => {
if (err) {
return res.status(401).json({ error: "Unauthorized(Token)." });
}
req.user = decoded;
next();
});
}
module.exports = {
generateToken,
authenticateToken,
};
- 그리고 컨트롤러 부분에 아래와 같이 로그인 기능을 구현합니다.
- 토큰을 생성하여 reponse합니다. front-end에서는 해당 토큰을 이용해 인증을 진행합니다.
router.post("/v1/login", async (req, res) => {
const email = req.body.email;
const customer = await customerService.getCustomerByEmail(email);
if (!customer) {
res.status(404).send();
} else {
const token = jwt.generateToken({
email: email,
});
res.status(200).json({ token: token });
}
});
- 위와 동일하게, 인증이 필요한 라우터에 미들웨어를 추가해줍니다.
/** 모든 고객 정보 가져오기 */
router.get("/v1/customer", jwt.authenticateToken, async (req, res) => {
const customers = await customerService.getAllCustomers();
res.json(customers);
});
/** 특정 고객 정보 가져오기 */
router.get("/v1/customer/:customerId", jwt.authenticateToken, async (req, res) => {
const customerId = Number(req.params.customerId);
const customer = await customerService.getCustomerById(customerId);
if (!customer) {
res.status(404).send();
}
res.json(customer);
});
- 토큰 없이 접근하면, 아래와 같이 401 에러가 발생합니다.
- 헤더에 토큰을 추가한뒤에 API에 접근하면 정상적으로 데이터를 확인 할 수 있습니다.
