인프런 커뮤니티 질문&답변

[개정3판] Node.js 교과서 - 기본부터 프로젝트 실습까지

passport로 이메일 로그인 만들기

connect.sid를 쿠키에 넣는 시점과 express-session

24.08.29 18:08 작성

·

32

0

req.login를 통해 req.session에 { 랜덤값: 유저아이디}를 저장하는 건 알겟는데, connect.sid=랜덤값을 쿠키에 넣는 시점은 언제인가요?

그리고 서버가 connect.sid를 세션 쿠키로 전송할 때, express-session 은 자동으로 이 값을 secret으로 서명하여 전송하나요?

답변 2

0

제로초(조현영)님의 프로필 이미지
제로초(조현영)
지식공유자

2024. 08. 29. 18:19

req.login 시에는 세션에 유저 아이디를 넣고, connect.sid는 요청이 올 때 express-session 미들웨어에서 바로 만들어서 보냅니다.

네 시크릿으로 서명하면 쿠키 값이 s%3A 로 시작하는 문자열이 됩니다

공태성지능으로고상언짓하기님의 프로필 이미지

2024. 08. 29. 21:29

req.login 진행하고 나서 res로 응답 돌려줄 때 쿠키에 connect.sid= 랜덤값을 넣어주는 것 아닌가요?! 또 요청이 와야만 만들어서 보내는 건가요?

제로초(조현영)님의 프로필 이미지
제로초(조현영)
지식공유자

2024. 08. 30. 01:24

아뇨. 로그인 안 해도 어떤 요청이든지 세션 쓸 일이 생기면 connect.sid가 생깁니다.

0

인프런 AI 인턴님의 프로필 이미지

2024. 08. 29. 18:11

안녕하세요, 인프런 AI 인턴입니다.

질문하신 connect.sid 쿠키에 관하여, connect.sid는 클라이언트와 서버 간의 세션을 유지하기 위해 사용되는 쿠키입니다. express-session 미들웨어가 세션을 생성할 때 이 쿠키를 자동으로 클라이언트 측에 보냅니다. express-session에서 secret 옵션을 사용하여 세션 쿠키 값인 connect.sid를 서명함으로써 쿠키 값의 안전을 보장합니다. 이는 쿠키를 조작하여 변조하는 것을 방지하기 위함입니다.

세션 쿠키인 connect.sid를 쿠키에 넣는 시점은 클라이언트가 서버와 처음으로 통신을 시도할 때, express-session이 해당 사용자를 식별하기 위한 랜덤한 세션 ID를 생성하여, 이를 connect.sid 값으로 쿠키에 저장하고 클라이언트에 전송합니다. 이 과정에서 express-session이 자동으로 secret 값을 사용하여 세션 ID를 서명하고, 이 서명된 세션 ID는 클라이언트와 서버 간의 모든 통신에 포함되어 안전하게 사용자 세션을 유지하게 됩니다.

서명된 connect.sid 세션 쿠키와 관련하여, 여러 질문에 대한 답변을 포함한 기존 답변을 참고하실 수 있습니다:

  • 세션, 쿠키 질문 - 이 질문에서도 connect.sid 쿠키의 생성 시점과 express-session의 역할에 대해 설명하고 있습니다.

이 답변이 질문자님의 궁금증을 해소하는 데 도움이 되었기를 바랍니다. express-session이 자동으로 세션 쿠키인 connect.sid를 생성하고, secret을 이용해 서명하는 과정은 서버와 클라이언트 간의 안전한 세션 유지에 핵심적인 역할을 담당합니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.