Authorization System

 

사실 프로젝트를 다 끝낸 후 한꺼번에 멋찌게 정리하고 싶었지만,,

그러기엔 너무 양이 많을 것 같아서

이때까지 진행한 부분 부분 정리해서 올리기로 했다.

 

 

기본아키텍쳐

client (react) ↔ server (node.js) ↔ mysql (db) 캐시처리 Redis

 

Node.js 에서 mysql 데이터베이스에 접근 방법

 

1. connection 객체 생성하여 그 객체를 이용해 DB와 통신
2. connection 설정은 config 폴더 내에 저장

 

 

3. connection 생성하는 방법

 

  createConnection()

•     매번 connection 생성 → 비효율적 (생성될 때 많은 시간 소요되기 때문)
•     createConnection() 메소드를 통해 connection 객체 하나 생성
•     종료: connection.end();

 

  createPool()

•    createPool() 메소드를 통해 connection pool 생성
•    connection 을 pool 에서 가져와 사용 ⇒ createConnection() 보다 효율적
•    connection의 개수 제한 0 ⇒ 반환해주지 않을 경우 connection limit 에 걸릴 수 있다.
•    connection 반환 : connection.release();

 

4. connection 사용 후 반드시 end(), release() 이용해 connection 끊어야 한다.

   => end(), release() 비동기로 수행 ⇒ connection.query()의 callback 함수 내에 작성

 

5. connection 사용 방법

• query 문은 string, values 는 query 문에 들어갈 동적으로 할당될 변수

  1. select 결과 값 : [{object1}, {object2}, {object3},...] → 특정 object 접근 시 result[i].value

  2. insert/ update / delete 의 결과 값 : 결과 값이 담긴 json 객체

 

Node.js Password Encryption

 

암호화를 위해 crypto 모듈 사용

 

pbkdf2 - 단방향암호화

 

   hash : 해시 알고리즘 ( ex sha256, sha512 ...) → 문자열의 특정 규칙을 이용해 다른 문자열로 치환

   salt : 해싱을 할 때 추가되는 임의의 문자열 ( salt를 해싱할 문자열에 추가하여 해싱하는 것 : salting)

    ⇒ 더 강력하게 암호화 시킬 수 있다.

const salt = await crypto.randomBytes(32);

    key stretching : hashing 함수를 반복하여 해싱하는 것.

    salt 값을 알더라도 반복횟수가 일치하지 않으면 digest 를 찾을 수 없다. ( digest : salt + password string ) 

    단순 해싱은 1초에 수만 ~ 수십억개의 Digest 생성가능

    -> GPU를 사용한 brute-force 공격에 쉽게 뚫린다! ⇒ salting + key stretching 함께 사용

 

    

// password encryption 결과
const pwHashed = await crypto.pbkdf2(user_pw, salt.toString('base64'), 10000, 32, 'sha512');

 

Node.js 토큰

 

Token 기반 인증

작동원리 : Statelsess 서버

클라이언트 ↔ 서버 간의 상태 유지 하지 않는다.

( 즉 , 서버는 클라이언트 측에서 들어오는 요청만으로 작업을 처리 )

⇒ 서버와 클라이언트 간의 연결고리 없기 때문에 서버의 확장성 ↑

 

Token을 사용하게 된 이유?

예전의 기존 인증 시스템에서는 서버 측에서 유저들 정보 기억하고 있었다. (세션)

→ 로그인 유저의 수 늘어나면 서버 램 과부화 문제 / 데이터베이스 성능문제 / 서버 확장 어려움

Token : 암호화 된 정보 오고 가기 때문에 보안 측면에서 안전 + 서버에 부담 X

 

JWT ( JSON Web Token )

 

 JSON 포맷으로 통신하기 때문에 어떤 Client 에서든 Data 통신에 JSON 이용하면 토큰 사용가능

 많은 프로그래밍 언어 ( C, Java, Python, C++, R, C# ... 등) 에서 지원

 자가 수용적 : JWT 는 필요한 모든 정보 자체적으로 가지고 있다. ⇒ 검증된 signature 포함 / 쉽게 전달 가능

 

 JWT 기본 구성

 — 헤더 ( Header ) : JWT 웹 토큰의 헤더 정보

            typ : 토큰의 타입, JWT 만 존재

            alg : 해싱 알고리즘 ( HMAC SHA256, RSA ) 헤더를 암호화 하는 것 X → 토큰 검증 시 사용

 

 — 정보( Payload ) : 실제 토큰으로 사용하려는 데이터가 담기는 부분

 

 — 서명 ( Signature ) : Header 와 Payload 의 데이터 무결성과 변조 방지를 위한 서명

              Header 와 Payload 의 인코딩한 값을 합친 후, Secret 키 와 함께 Header의 해싱 알고리즘으로 인코딩

 

 JWT 구조 : [ Header Payload Signature ] 각각 JSON 형태의 데이터를 base64 인코딩 후 합친다.

                   aaaaaaa.bbbbbbbb.cccccccc . 을 이용해 합친다.

 

node.js 에서 jsonwebtoken 모듈 활용

• 주요 메소드 

       jwt.sign(payload, secretKey, option)

            secretKey : 임의의 문자열, 랜덤으로 만들어 서버가 가지고 있음

            option : 알고리즘, Token 유효기간

 

       jwt.verify(token, secretKey)

//jwt 모듈로 만들어서 활용
module.exports = {
  sign : function(_id) {
    const options = {
      algorithm : "HS256",
      expiresIn : 60 * 60 * 24 * 30 //30 days
    };
    
    const payload = {
      _id : _id
    };
    
    let token = jwt.sign(payload, secretKey, options);
    return token;
  },
  
  verify : function(token) {
    let decoded;
    
    try {
      decoded = jwt.verify(token, secretKey);
    }
    catch(err) {
      if(err.message === 'jwt expired') console.log('expired token');
      else if(err.message === 'invalid token') console.log('invalid token');
    }
    
    if(!decoded) {
      return -1;
    } else {
      return decoded;
    }
  }
};

 

 

    JWT 인증 과정 

1. 클라이언트 로그인
2. 로그인 정보 바탕으로 secret key 이용해 토큰 생성
3. 로그인 성공 시, 토큰 클라이언트에게 줌
4. 클라이언트가 사용자 정보가 필요한 api 요청할 때, token 같이 보낸다.
5. token 정보 확인하여 유효한지 파악
6. 들어온 정보로 얻은 데이터를 포함한 response 보내준다.