로그인 처리 - 세션1

앞서 쿠키에 중요한 정보를 보관하는 방법은 여러가지 보안 이슈가 있었다.
이 문제를 해결하려면 결국 중요한 정보를 모두 서버에 저장해야 한다.

그리고 클라이언트와 서버는 추정 불가능한 임의의 식별자 값으로 연결해야 한다.
이렇게 서버에 중요한 정보를 보관하고 연결을 유지하는 방법을 세션이라 한다.

 

 

아이디 비밀번호를 넣는다.
이를 서버에 전송해서 쿠키와 마찬가지로 검사를진행해서 일치여부를 확인한다.
이때 서버는 세션 저장소에 임의의 토큰을 랜덤한 UUID를 생성해서 key로 가진다. 값으로는 회원개체를 저장한다.

 

 

 

쿠키를 만들어서 웹 브라우저에게 UUID를 전송하도록 해서 브라우저의 쿠키저장소에 이를 저장한다.
UUID는 추정이 불가능하며, 생성된 세션 ID에 보관할 값(memberID)를 서버의 세션에 저장하도록 한다.

 

 

쿠키로 연결이 되어야 한다.

 

서버는 클라이언트에 'mySessionId'라는 이름의 세션ID만을 쿠키에 담아서 전달한다.
또한 클라이언트는 쿠키 저장소에 'mySessionId'쿠키를 보관한다.

 

중요한점은 회원과 관련된 정보는 클라이언트에게 전혀 전달하지 않는다!!
추정 불가능한 세션ID(UUID)만을 쿠키에 담아서 클라이언트에 전달한다.

 

로그인 이후 접근

로그인 이후 접근할때, 클라이언트는 서버에게 항상 'mySessionID'쿠키를 전달한다.
서버는 'mySessionID'쿠키정보로 세션 저장소를 조회하여 보관한 세션 정보(value)를 사용한다.

세션은 쿠키에서 취약한 문제점을 보완할 수 있다.

1. 쿠키값 변조-> 추정불가한 세션ID로 UUID사용
2. 쿠키정보는 클라이언트 해킹시 털려버린다. -> 세션ID가 털려도 중요한 정보가 없다.
3. 쿠키탈취 후 사용 -> 헤커가 토큰을 털어도 세션만료 시간을 짧게 한다. 또한 서버에서 세션을 강제로 제거가 가능하다.