수준별 학습반_베이직반 3회차 세션

베이직반

인증인가

12/13 14:00 ~ 15:40 (약 1시간 40분 진행)

중요 키워드

쿠키
쿠키 인증 방식
세션
세션 인증 방식
토큰
토큰 인증 방식
필터

쿠키, 세션, 토큰 인증 방식은 개발을 하려면 무조건 알고 있어야 하는 내용이다!
인증 방식을 비교해보는 것이 좀 더 이해가 쉽다.

쿠키 인증 방식

쿠키

브라우저를 접속했을 때, 상태를 유지하기 위해서도 사용된다.
사용자의 상태를 유지하기 위해 사용하는 브라우저의 작은 공간이다.

그렇다면 왜 브라우저에 저장 공간이 필요할까?!

사용성

개인화된 경험 제공 → 맞춤형 서비스를 제공할 수 있다.
성능 최적화 → 브라우저, 쿠키에서 바로 꺼내서 보여줄 수 있다.
오프라인 지원

쿠키를 활용한 기능

브라우저에서 요청이 갈 때마다 자동으로 Request Header에 그 값들이 포함되어서 서버로 날아간다.
별도의 설정 없이도 가능하다!

쿠키 인증 방식

⭐ 에러 추적 범위를 좁히는 꿀팁!

로그를 찍어가면서 범위를 줄여나간다!!
@Slf4j를 사용해서 lod.info를 활용해 로그를 찍어보면서 어디서 에러가 발생했는지 줄여나갈 수 있다.

쿠키 실습 코드

@GetMapping("/cookie")
public String cookieAPI(HttpServletRequest request) {
    log.info("::: AuthController.cookieAPI()");

    // 1. Request 객체에서 cookie 목록 가져오기
    Cookie[] cookies = request.getCookies();

    // 2. 쿠키 (UserId) 키값으로 value 찾는 함수 호출
    String userId = this.findCookie("userId", cookies);

    // 3. 찾아온 쿠키의 값 출력
    if (userId != null) {
        log.info("found userId: {}", userId);
    } else {
        log.info("userId not found");
    }
    return "success";
}

@GetMapping("/cookie-login")
public ResponseEntity<String> cookieLoginAPI() {
    log.info("::: AuthController.cookieLoginAPI()");
    // 1. 로그인 로직 처리 => DB 조회해서 유저 찾기
    String cookieKey = "userId";
    String userId = "1";

    // 2. 생성 - 헤더 생성
    String headerValue = cookieKey + "=" + userId;
    HttpHeaders headers = new HttpHeaders();
    headers.set("Set-Cookie", headerValue);

    // 3. 응답 반환
    return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
}

private String findCookie(String key, Cookie[] cookies) {
    if (cookies != null ) {
        for (Cookie cookie : cookies) {
            if (key.equals(cookie.getName())) {
                return cookie.getValue();
            }
        }
    }
    return null;
}

쿠키 인증 방식의 한계

여기서 만약.. 브라우저의 정보가 탈취된다면?!

그래서 쿠키에는 유출되면 안되는 정보가 저장되면 안된다.

세션 인증 방식

세션

클라이언트와 서버의 연결을 나타내는 하나의 상태이다.
하나의 연결 상태이다.

세션 인증 방식

[ 클라이언트 ] 세션 정보를 보낸다.
[ 서버 ] 세션 정보를 받는다.
[ 서버 ] 세션 정보를 세션 저장소를 통해서 조회한다.
[ 서버 ] 세션 저장소에 세션 정보가 있다면 인증된 유저이다.
[ 서버 ] 세션 저장소에 세션 정보가 없다면 인증되지 않은 유저이다.

세션은 암호화가 아니다!!!
세션 저장소에서 주기적으로 key 값을 바꿔준다면 훨씬 안전해진다.
서버 쪽만 업데이트 하면 된다. 서버에서는 유저에 대한 정보를 기록하기 때문에 변경되더라도 요청이 왔을 때 알 수 있다.
해커가 값을 가져가더라도 업데이트되면 그 전에 가져간 값은 사용할 수 없게 된다.
서버에서 유저에 대한 정보를 관리한다. 책임이 서버에게 있다.

흐름도

실습

// 세션 저장소
private final Map<String, String> sessionStorage = new HashMap<>();


@GetMapping("/session")
public String sessionAPI(HttpServletRequest request) {
    log.info("::: AuthController.sessionAPI()");
    Cookie[] cookies = request.getCookies();
    String sessionId = this.findCookie("sessionId", cookies);
    if (sessionId != null) {
        // 세션저장소에서 유저 데이터 조회 & 활용
        String userData = sessionStorage.get(sessionId);
        log.info("found session: {}", userData);
    } else {
        log.info("session not found");
    }
    return "success";
}

@GetMapping("/session-login")
public ResponseEntity<String> sessionLoginAPI() {
    log.info("::: AuthController.sessionLogin()");
    // 1. 로그인 로직 처리

    // 2. 데이터 베이스에서 사용자 정보 조회
    String sessionId = "xxxx";
    String sessionData = "userId: 1";

    // 3. 세션 저장소에 데이터 저장
    sessionStorage.put(sessionId, sessionData);

    // 4. 생성 - 헤더 생성
    String headerValue = "sessionId" + "=" + sessionId;
    HttpHeaders headers = new HttpHeaders();
    headers.set("Set-Cookie", headerValue);

    // 5. 응답 반환
    return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
}

토큰 인증 방식

토큰

사용자와 서버의 연결 상태를 나타내는 하나의 토큰이다.

토큰 인증 방식

쿠키에 저장된 문자열에는 의미가 있다.
의미가 있는 Value 값이지만 한 번 꼬아놓은 것이다. (Base64 인코딩)
저장을 클라이언트에서 하고 있다!

실습

@GetMapping("/token")
public String tokenAPI(HttpServletRequest request) {
    log.info("::: AuthController.tokenAPI()");
    Cookie[] cookies = request.getCookies();
    String token = this.findCookie("token", cookies);
    if (token != null) {
        // 토큰을 해독해서 유저 데이터를 활용
        String decodedToken = parseToken(token);
        log.info("found token: {}", token);
        log.info(decodedToken);

    } else {
        log.info("token not found");
    }
    return "success";
}


@GetMapping("/token-login")
public ResponseEntity<String> tokenLoginAPI() {
    log.info("::: AuthController.tokenLoginAPI()");
    // 1. 로그인 로직 처리

    // 2. 데이터 베이스에서 사용자 정보 조회
    String userData = "userId: 1";

    // 3. 토큰 생성
    String encodedData = encodeToBase64(userData);

    // 4. 생성 - 헤더 생성
    String headerValue = "token" + "=" + encodedData;
    HttpHeaders headers = new HttpHeaders();
    headers.set("Set-Cookie", headerValue);

    // 5. 응답 반환
    return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
}

private String encodeToBase64(String input) {
    byte[] encodedBytes = Base64.getEncoder().encode(input.getBytes());
    String encodedToken = new String(encodedBytes);
    return encodedToken;
}

private String parseToken(String token) {
    byte[] decodedBytes = Base64.getDecoder().decode(token);
    String decodedToken = new String(decodedBytes);
    return decodedToken;
}

private String findCookie(String key, Cookie[] cookies) {
    if (cookies != null ) {
        for (Cookie cookie : cookies) {
            if (key.equals(cookie.getName())) {
                return cookie.getValue();
            }
        }
    }
    return null;
}

인증 방식 정리 ⭐⭐⭐⭐⭐

	내용 확인 가능	내용 변조 가능	유저 상태 저장 위치	서버 부하
쿠키	✅	✅	클라이언트	낮음
세션	❌	❌	서버(세션 저장소)	높음
토큰	✅(디코딩시)	✅(인코딩시)	클라이언트	낮음

HttpSession - 스프링을 활용한 세션 활용

HttpSession session = request.getSession();

// 세션 아이디 조회
String sessionid = session.getId();

// 세션 값 설정
session.setAttribute("memberId", memberId);

// 세션 값 조회
Long foundMemberId = (Long) session.getAttribute("memberId");

// 세션 값 제거
session.removeAttribute("memberId");

// 세션 삭제
session.invalidate();

// 세션 생성 시간 조회
long creationTime = session.getCreationTime();

// 세션 마지막 접근 시간 조회
long lastAccessedTime = session.getLastAccessedTime();

// 세션 유효 시간 설정(초단위로 설정: 10초)
session.setMaxInactiveInterval(10);

// 세션 유효 시간 조회
int maxInactiveInterval = session.getMaxInactiveInterval();

// 신규 세션 여부 확인
boolean aNew = session.isNew();

필터 설명

요청 흐름도

MVC 구조 확장 사용법

⭐ 스프링 요청 흐름도 ⭐

전체 실습 코드

@Slf4j
@RestController
@RequestMapping("/auth")
public class AuthController {

    // 세션 저장소
    private final Map<String, String> sessionStorage = new HashMap<>();

    @GetMapping("/cookie")
    public String cookieAPI(HttpServletRequest request) {
        log.info("::: AuthController.cookieAPI()");
        Cookie[] cookies = request.getCookies();
        String userId = this.findCookie("userId", cookies);
        if (userId != null) {
            log.info("found userId: {}", userId);
        } else {
            log.info("userId not found");
        }
        return "success";
    }

    @GetMapping("/cookie-login")
    public ResponseEntity<String> cookieLoginAPI() {
        log.info("::: AuthController.cookieLoginAPI()");
        // 1. 로그인 로직 처리

        String cookieKey = "userId";
        String userId = "1";

        // 4. 생성 - 헤더 생성
        String headerValue = cookieKey + "=" + userId;
        HttpHeaders headers = new HttpHeaders();
        headers.set("Set-Cookie", headerValue);

        // 5. 응답 반환
        return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
    }

    @GetMapping("/session")
    public String sessionAPI(HttpServletRequest request) {
        log.info("::: AuthController.sessionAPI()");
        Cookie[] cookies = request.getCookies();
        String sessionId = this.findCookie("sessionId", cookies);
        if (sessionId != null) {
            // 세션저장소에서 유저 데이터 조회 & 활용
            String userData = sessionStorage.get(sessionId);
            log.info("found session: {}", userData);
        } else {
            log.info("session not found");
        }
        return "success";
    }

    @GetMapping("/session-login")
    public ResponseEntity<String> sessionLoginAPI() {
        log.info("::: AuthController.sessionLogin()");
        // 1. 로그인 로직 처리

        // 2. 데이터 베이스에서 사용자 정보 조회
        String sessionId = "xxxx";
        String sessionData = "userId: 1";

        // 3. 세션 저장소에 데이터 저장
        sessionStorage.put(sessionId, sessionData);

        // 4. 생성 - 헤더 생성
        String headerValue = "sessionId" + "=" + sessionId;
        HttpHeaders headers = new HttpHeaders();
        headers.set("Set-Cookie", headerValue);

        // 5. 응답 반환
        return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
    }


    @GetMapping("/token")
    public String tokenAPI(HttpServletRequest request) {
        log.info("::: AuthController.tokenAPI()");
        Cookie[] cookies = request.getCookies();
        String token = this.findCookie("token", cookies);
        if (token != null) {
            // 토큰을 해독해서 유저 데이터를 활용
            String decodedToken = parseToken(token);
            log.info("found token: {}", token);
            log.info(decodedToken);

        } else {
            log.info("token not found");
        }
        return "success";
    }


    @GetMapping("/token-login")
    public ResponseEntity<String> tokenLoginAPI() {
        log.info("::: AuthController.tokenLoginAPI()");
        // 1. 로그인 로직 처리

        // 2. 데이터 베이스에서 사용자 정보 조회
        String userData = "userId: 1";

        // 3. 토큰 생성
        String encodedData = encodeToBase64(userData);

        // 4. 생성 - 헤더 생성
        String headerValue = "token" + "=" + encodedData;
        HttpHeaders headers = new HttpHeaders();
        headers.set("Set-Cookie", headerValue);

        // 5. 응답 반환
        return new ResponseEntity<>("로그인 성공", headers, HttpStatus.OK);
    }

    @GetMapping("/filter")
    public String filterAPI(HttpServletRequest request) {
        log.info("::: AuthController.filterAPI()");
        HttpSession session = request.getSession(false);
        if (session == null) {
            log.info("session not found");
            return "session not found";
        }

        String userId = (String) session.getAttribute("user");
        log.info("found userSession: {}", userId);
        return "found user session:  " + userId;
    }

    @GetMapping("/filter-login")
    public String loginAPI(HttpServletRequest request) {
        log.info("::: AuthController.loginAPI()");

        // 세션 생성
        HttpSession session = request.getSession(true);

        // 세션저장소에 유저 데이터 저장
        String userId = "1";
        session.setAttribute("user", userId);
        return "Login successful";
    }

    private String encodeToBase64(String input) {
        byte[] encodedBytes = Base64.getEncoder().encode(input.getBytes());
        String encodedToken = new String(encodedBytes);
        return encodedToken;
    }

    private String parseToken(String token) {
        byte[] decodedBytes = Base64.getDecoder().decode(token);
        String decodedToken = new String(decodedBytes);
        return decodedToken;
    }

    private String findCookie(String key, Cookie[] cookies) {
        if (cookies != null ) {
            for (Cookie cookie : cookies) {
                if (key.equals(cookie.getName())) {
                    return cookie.getValue();
                }
            }
        }
        return null;
    }
}

'Today I Learned(TIL) > 수준별 학습반' 카테고리의 다른 글

수준별 학습반_베이직반 2회차 세션 (0)	2024.12.11
수준별 학습반_베이직반 1회차 세션 (0)	2024.12.07
수준별 학습반_스탠다드반 1회차 (1)	2024.12.04

당근당근🥕

수준별 학습반_베이직반 3회차 세션

베이직반

인증인가

중요 키워드

쿠키 인증 방식

쿠키

그렇다면 왜 브라우저에 저장 공간이 필요할까?!

쿠키를 활용한 기능

쿠키 인증 방식

쿠키 실습 코드

쿠키 인증 방식의 한계

세션 인증 방식

세션

세션 인증 방식

흐름도

실습

토큰 인증 방식

토큰

토큰 인증 방식

실습

인증 방식 정리 ⭐⭐⭐⭐⭐

HttpSession - 스프링을 활용한 세션 활용

필터 설명

요청 흐름도

MVC 구조 확장 사용법

⭐ 스프링 요청 흐름도 ⭐

전체 실습 코드

'Today I Learned(TIL) > 수준별 학습반' 카테고리의 다른 글

티스토리툴바

수준별 학습반_베이직반 3회차 세션

베이직반

인증인가

중요 키워드

쿠키 인증 방식

쿠키

그렇다면 왜 브라우저에 저장 공간이 필요할까?!

쿠키를 활용한 기능

쿠키 인증 방식

쿠키 실습 코드

쿠키 인증 방식의 한계

세션 인증 방식

세션

세션 인증 방식

흐름도

실습

토큰 인증 방식

토큰

토큰 인증 방식

실습

인증 방식 정리 ⭐⭐⭐⭐⭐

HttpSession - 스프링을 활용한 세션 활용

필터 설명

요청 흐름도

MVC 구조 확장 사용법

⭐ 스프링 요청 흐름도 ⭐

전체 실습 코드

'Today I Learned(TIL) > 수준별 학습반' 카테고리의 다른 글

관련글

티스토리툴바