[로그인] 로그인 처리 - 세션 동작 방식

1. 쿠키 방식의 문제점

---

• 쿠키애 정보를 보관하는 방법은 보안문제가 있다.
• 보안문제 해결을 위해서는 중요한 정보는 서버에 저장해야함.
• 클라이언트와 서버는  추정 불가능한 임의의 식별자 값으로 연결해야함.
• 이렇게 서버에 중요한 정보를 보관하고 연결을 유지하는 방법을 세션이라 함

 

2. 세션 동작 방식

---

• 로그인
  • 사용자가 loginId , password 정보를 전달하면 서버에서 해당 사용자가 맞는지 확인

• 세션 생성
  • 사용자 정보가 맞으면,  세션 ID를 생성
  • 이 때 세션 ID는 추정 불가능해야 함.
  • UUID는 추정이 불가능하다. -->로또 연속 6번보다 낮은 확률로 맞출 수 있음 ㅋㅋㅋ
    
    • Cookie: mySessionId=zz0101xx-bab9-4b92-9b32-dadb280f4b61
  • 생성된 세션 ID와 세션에 보관할 값( memberA )을 서버의 세션 저장소에 보관한다

• 세션id를 응답 쿠키로 전달
  • 클라이언트와 서버는 결국 쿠키로 연결
  • 서버는 클라이언트에 mySessionId 라는 이름으로 세션ID 만 쿠키에 담아서 전달한다.
  • 클라이언트는 쿠키 저장소에 mySessionId 쿠키를 보관한다.

 

* 중요

• 회원과 관련된 정보는 전혀 클라이언트에 전달하지 않음
• 오직 추정 불가능한 세션 ID만 쿠키를 통해 클라이언트에 전달
• 외부에서 세션 ID를 알아도 회원 정보를 알 수가 없음.

• 클라이언트의 세션id 쿠키 전달
  • 클라이언트는 요청시 항상 mySessionId 쿠키를 전달
  • 서버에서는 클라이언트가 전달한 mySessionId 쿠키 정보로 세션 저장소를 조회해서 
  • 로그인시 보관한 세션 정보를 사용

 

3. 보안문제 해결

---

• 세션을 사용해서 서버에서 중요한 정보를 관리
• 쿠키 값을 변조 가능 -> 예상 불가능한 복잡한 세션Id를 사용한다.
• 쿠키에 보관하는 정보는 클라이언트 해킹시 털릴 가능성 -> 세션Id에는  중요한 정보가 없음
• 쿠키 탈취 후 사용 ->  시간이 지나면 사용할 수 없도록 서버에서 세션 만료시간을 짧게(예: 30분) 유지.
• 또는 해킹이 의심되는 경우 서버에서 해당 세션을 강제로  제거