express로 세션(session) 구현하기 (feat. passport, express-session)

세션은 회원기능이 필요할 때 가장 기본은 할 수 있는 보장된 인증 방식이다.

node.js에서 이를 쉽게 구현하려면 passport와 express-session 등을 많이 사용한다.

 

설치

npm install express-session passport passport-local

 

Express-session

express-session은 Express 애플리케이션에서 세션 관리를 쉽게 할 수 있도록 도와주는 미들웨어이다.

서버에서 각 사용자별로 고유한 세션을 생성하고, 이 세션에 데이터를 저장할 수 있게 한다.

세션ID를 클라이언트에 쿠키로 저장하여 서버와 클라이언트 간의 세션을 연결한다.

const session = require("express-session");

app.use(
  session({
    secret: "암호화에 쓸 비번",
    resave: false, // 유저가 서버로 요청할 때마다 세션을 갱신할건지?
    saveUninitialized: false, // 로그인 안 해도 세션을 만들건지?
    cookie: {
      maxAge: 60 * 60 * 1000 * 24 * 7,
    },
  })
);

 

passport 초기 설정

passport는 회원인증 도와주는 메인라이브러리이다.

그중 passport-local은 passport 중에서도 '아이디/비번 방식 회원인증'을 구현하는 라이브러리이다.

두 개 다 설치해줘야 세션을 구현할 수 있다.

 

일단 초기화는 LocalStrategy라는 객체를 생성하여 콜백 안에 로그인 로직을 전달해주면 된다.

const passport = require("passport");
const LocalStrategy = require("passport-local");

app.use(passport.initialize()); // 초기화
app.use(passport.session()); // 세션용 사용자 정보를 저장하는 미들웨어

// passport 내에 passport-local로 불러온 LocalStrategy를 생성하고
// 사용자 인증 로직을 구현한다.
passport.use(
  new LocalStrategy(async (userId, password, cb) => {
    // db조회해서 유저를 찾아온다.
    let result = await db.collection("user").findOne({ username: userId });
    
    // 유저 조회 결과가 없다면
    if (!result) {
      // 콜백을 리턴. (꼭 이름이 'done'이 아니어도 된다.)
      return done(null, false, { message: "아이디 DB에 없음" });
    }
    // 유저는 존재하는데 password가 같다면
    if (result.password == password) {
      return done(null, result);
    // 유저는 존재하는데 password가 다르다면
    } else {
      return done(null, false, { message: "비번불일치" });
    }
  })
);
// done (
//   에러여부: {...} | null,
//   인증여부: boolean, 에러 시 false
//   추가메시지: { message: ... }
// )

 

직렬화와 역직렬화

직렬화:

직렬화는 예전 포스팅에서 한 번 다뤘다. 객체나 복잡한 구조의 데이터를 비트의 연속으로 된 원시값으로 치환하는 것이다.

JSON.stringify()로 객체를 string화 하는 것을 떠올리면 된다.

 

여기 passport라이브러리에서 직렬화란 DB에서 불러온 무거운 유저 정보 객체를 세션에 다 넣지 않고

정말 필요한 것만 추려 '세션 객체'에 저장하는 과정이다.

 

사용자가 로그인 폼을 제출하고 인증에 성공하면, serializeUser 함수가 호출되어 사용자 정보를 세션에 저장한다.

즉, 직렬화는 로그인 성공 시 실행된다.

// 직렬화
passport.serializeUser((user, done) => {
  // 내부 코드를 비동기적으로 실행(async/await과 비슷)
  process.nextTick(() => {
    done(
      null,
      //세션 document에 기록할 내용
      {
        id: user._id,
        username: user.username,
      }
    );
  });
});

 

직렬화가 이루어지면 세션에 아래처럼 유저정보가 등록된다고 생각하면 된다.

// 세션에 저장되는 정보
session: {
  passport: {
    user: 123
  }
}

 

역직렬화:

역직렬화는 각 요청마다 세션에서 사용자 정보를 복원할 때 실행된다.

클라이언트가 서버에 요청을 보낼 때마다, Passport는 세션에서 저장된 사용자 ID를 사용하여 deserializeUser를 호출한다.

 

아래 예시에서 DB조회해서 가져온 유저 객체에서 password부분은 제거한 채로 라우트에 전달해준다.

보통 password같이 민감한 정보는 될 수 있으면(꼭 필요한게 아니라면) 조회 후 바로 지워준다고 하더라. (확실치 않음)

// 역직렬화
passport.deserializeUser(async (user, done) => {
  let result = await db
    .collection("user")
    .findOne({ _id: new ObjectId(user.id) });
  delete result.password;
  process.nextTick(() => {
    // 실제 최신 유저 or null이 담김
    done(null, result);
  });
});

 

로그인 시 passport에 유저정보를 전달하는 코드

 

앞서 말했듯 직렬화가 이루어지기 전에 로그인 시도를 구현하는 부분이다.

passport.authenticate(...)를 실행하는 것 같다.

app.post("/login", async (req, res, next) => {
  // 3개의 인자를 콜백에 담을 수 있음
  // error: 말그대로 에러가 있을 시 오는 객체
  // user: 성공 시 유저 정보
  // info: 실패 시 이유
  passport.authenticate("local", (error, user, info) => {
    if (error) {
      // db조회 실패 및 서버 에러 시
      return res.status(500).json(error);
    } else if (!user) {
      // user 조회는 했으나 정보가 다를 시
      return res.status(401).json(info.message);
    }

    // 성공 시
    req.logIn(user, (err) => {
      if (err) return next(err);

      res.redirect("/");
    });
  })(req, res, next);
  // passport 미들웨어는 요청, 응답, next를 모두 받아서 처리함
});

 

역직렬화된 데이터를 각 라우트에서 활용하는 법

req.user 혹은 req.usAuthenticated()를 통해 역직렬화된 세션 유저데이터를 활용할 수 있다.

인증 여부를 아래처럼 req.usAuthenticated()를 통해 알 수도 있고,

req.user.username 등 user 객체에 있는 정보들을 활용할 수 있다.

// 프로필 라우트
app.get('/profile', (req, res) => {
  if (req.isAuthenticated()) {
    res.send(`Hello ${req.user.username}, your email is ${req.user.email}`);
  } else {
    res.redirect('/login');
  }
});