NODE 📚 카카오 로그인 (passport-kakao) ✈️ 구현

Tribune Group GmbH is an ADA CERP Recognized Provider.
ADA CERP is a service of the American Dental Association to assist dental professionals in identifying quality providers of continuing dental education. ADA CERP does not approve or endorse individual courses or instructors, nor does it imply acceptance of credit hours by boards of dentistry. This continuing education activity has been planned and implemented in accordance with the standards of NODE 📚 카카오 로그인 (passport-kakao) ✈️ 구현 the ADA Continuing Education Recognition Program (ADA CERP) through joint efforts between Tribune Group GmbH and Dental Tribune International GmbH.

인증 방식 : Cookie & Session vs JWT

HTTP는 인터넷 상에서 데이터를 주고 받기 위한 서버/클라이언트 모델을 따르는 프로토콜입니다. 클라이언트가 서버에게 요청을 보내면 서버는 응답을 보냄으로써, 데이터를 교환합니다. HTTP는 비연결성 및 무상태성 이라는 특징을 가지고 있습니다. HTTP는 요청에 대한 응답을 처리하게 되면 연결을 끊어 버립니다. 따라서 클라이언트에 대한 이전의 상태 정보 및 현재 통신의 상태가 남아있지 않습니다.

서버가 다수의 클라이언트와 연결을 계속 유지한다면, 이에 따른 자원 낭비가 심해집니다. 비연결성 및 무상태성의 특징을 가진다면 불필요한 자원 낭비를 줄일 수 있다는 장점이 있습니다.

그러나 서버는 클라이언트를 식별할 수 없다는 단점 또한 존재합니다. 로그인을 하더라도 다음 요청에서는 해당 클라이언트를 기억하지 못해, 또 로그인을 해야하는 문제가 발생합니다. 브라우저에서 새로고침을 누를 때마다 로그인을 해야하는 상황, 상상이 되시나요? 😱😱

하지만 우리가 사용하고 있는 웹 사이트들의 경우, 한 번 로그인 하면 다시 로그인할 필요 없이 여러 페이지를 돌아다니며 다양한 기능들을 이용할 수 있습니다. 심지어는 브라우저를 껐다 켜도 로그인이 유지가 되기도 하지요. 이는 HTTP의 비연결성 및 무상태성 특징을 보완한 기술인 Cookie와 Session 덕분입니다.

2. Cookie

쿠키란 클라이언트가 어떠한 웹사이트를 방문할 경우, 그 사이트가 사용하고 있는 서버를 통해 클라이언트의 브라우저에 설치되는 작은 기록 정보 파일을 일컫습니다.

서버는 클라이언트의 로그인 요청에 대한 응답을 작성할 때, 클라이언트 측에 저장하고 싶은 정보를 응답 헤더의 Set-Cookie 에 담습니다.

• 쿠키는 Key-Value 형식의 문자열입니다.

• 이후 해당 클라이언트는 요청을 보낼 때마다, 매번 저장된 쿠키를 요청 헤더의 Cookie 에 담아 보냅니다.
• 서버는 쿠키에 담긴 정보를 바탕으로 해당 요청의 클라이언트가 누군지 식별할 수 있습니다.

2.1. 단점

• 요청 시 쿠키의 값을 그대로 보냅니다.
• 유출 및 조작 당할 위험이 존재합니다.

3. Cookie & Session 기반 인증

쿠키를 통해 클라이언트 로그인 상태를 유지시킬 수 있었지만, 가장 큰 단점은 쿠키가 유출 및 조작 당할 위험이 존재한다는 것입니다. 개인정보를 HTTP로 주고 받는 것은 위험합니다.

세션은 비밀번호 등 클라이언트의 인증 정보를 쿠키가 아닌 서버 측에 저장하고 관리합니다.

• 서버는 클라이언트의 로그인 요청에 대한 응답을 작성할 때, 인증 정보는 서버에 저장하고 클라이언트 식별자인 JSESSIONID를 쿠키에 담습니다.
• 이후 클라이언트는 요청을 보낼 때마다, JSESSIONID 쿠키를 함께 보냅니다.
• 서버는 JSESSIONID 유효성을 판별해 클라이언트를 식별합니다.

3.1. 장단점

쿠키를 포함한 요청이 외부에 노출되더라도 세션 ID 자체는 유의미한 개인정보를 담고 있지 않습니다.

• 그러나 해커가 이를 중간에 탈취하여 클라이언트인척 위장할 수 있다는 한계가 존재합니다.

4. JWT 기반 인증

JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 토큰을 의미합니다. JWT 기반 인증은 쿠키/세션 방식과 유사하게 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별합니다.

4.1. JWT 구조

JWT는 .을 구분자로 나누어지는 세 가지 문자열의 조합입니다. 실제 디코딩된 JWT는 다음과 같은 구조를 지닙니다.

Header

Header는 alg과 typ는 각각 정보를 암호화할 해싱 알고리즘 및 토큰의 타입을 지정합니다.

Payload

Payload는 토큰에 담을 정보를 지니고 있습니다. 주로 클라이언트의 고유 ID 값 및 유효 기간 등이 포함되는 영역입니다. key-value 형식으로 이루어진 한 쌍의 정보를 Claim이라고 칭합니다.

Signature

Signature는 인코딩된 Header와 Payload를 더한 뒤 비밀키로 해싱하여 생성합니다. Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 복호화 및 조작할 수 있지만, Signature는 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 복호화할 수 없습니다. 따라서 Signature는 토큰의 위변조 여부를 확인하는데 사용됩니다.

4.2. 인증 과정

1. 클라이언트 로그인 요청이 들어오면, 서버는 검증 후 클라이언트 고유 ID 등의 정보를 Payload에 담습니다.
2. 암호화할 비밀키를 사용해 Access Token(JWT)을 발급합니다.
3. 클라이언트는 전달받은 토큰을 저장해두고, 서버에 요청할 때 마다 토큰을 요청 헤더 Authorization 에 포함시켜 함께 전달합니다.
4. 서버는 토큰의 Signature를 비밀키로 복호화한 다음, 위변조 여부 및 유효 기간 등을 확인합니다.
5. 유효한 토큰이라면 요청에 응답합니다.

4.3. 장점

1. Header와 Payload를 가지고 Signature를 생성하므로 데이터 위변조를 막을 수 있습니다.
2. 인증 정보에 대한 별도의 저장소가 필요없습니다.
3. JWT는 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증됬음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지니고 있습니다.
4. 클라이언트 인증 정보를 저장하는 세션과 다르게, 서버는 무상태가 됩니다.
5. 확장성이 우수합니다.
6. 토큰 기반으로 다른 로그인 시스템에 접근 및 권한 공유가 가능합니다.
7. OAuth의 경우 Facebook, Google 등 소셜 계정을 이용하여 다른 웹서비스에서도 로그인을 할 수 있습니다.
8. 모바일 어플리케이션 환경에서도 잘 동작합니다.

4.4. 단점

1. 쿠키/세션과 다르게 JWT는 토큰의 길이가 길어, 인증 요청이 많아질수록 네트워크 부하가 심해집니다.
2. Payload 자체는 암호화되지 않기 때문에 유저의 중요한 정보는 담을 수 없습니다.
3. 토큰을 탈취당하면 대처하기 어렵습니다.
4. 토큰은 한 번 발급되면 유효기간이 만료될 때 까지 계속 사용이 가능하기 때문입니다.
5. 특정 사용자의 접속을 강제로 만료하기 어렵지만, 쿠키/세션 기반 인증은 서버 쪽에서 쉽게 세션을 삭제할 수 있습니다.

5. 보안 전략

JWT 사용시 상기한 단점들을 극복하기 위해 다양한 전략을 채택할 수 있습니다. 각각의 전략은 장단점이 상이하기 때문에, 서비스의 특성을 고려하여 보안 수준을 높일지 사용자의 편의성을 높일지 결정해야 합니다.

5.1. 짧은 만료 기한 설정

토큰의 만료 시간을 짧게 설정하는 방법을 고려할 수 있습니다. 토큰이 탈취되더라도 빠르게 만료되기 때문에 피해를 최소화할 수 있습니다. 그러나 사용자가 자주 로그인해야 하는 불편함이 수반됩니다.

5.2. Sliding Session

글을 작성하는 도중 토큰이 만료가 된다면 Form Submit 요청을 보낼 때 작업이 정상적으로 처리되지 않고, 이전에 작성한 글이 날아가는 등의 불편함이 존재합니다. Sliding Session은 서비스를 지속적으로 이용하는 클라이언트에게 자동으로 토큰 만료 기한을 늘려주는 방법입니다. 글 작성 혹은 결제 등을 시작할 때 새로운 토큰을 발급해줄 수 있습니다. 이를 통해 사용자는 로그인을 자주 할 필요가 없어집니다.

5.3. Refresh Token

클라이언트가 로그인 요청을 보내면 서버는 Access Token 및 그보다 긴 만료 기간을 가진 Refresh Token을 발급하는 전략입니다. 클라이언트는 Access Token이 만료되었을 때 Refresh Token을 사용하여 Access Token의 재발급을 요청합니다. 서버는 DB에 저장된 Refresh Token과 비교하여 유효한 경우 새로운 Access Token을 발급하고, 만료된 경우 사용자에게 로그인을 요구합니다.

해당 전략을 사용하면 Access Token의 만료 기한을 짧게 설정할 수 있으며, 사용자가 자주 로그인할 필요가 없습니다. 또한 서버가 강제로 Refresh Token을 만료시킬 수 있습니다.NODE 📚 카카오 로그인 (passport-kakao) ✈️ 구현

그러나 검증을 위해 서버는 Refresh Token을 별도의 storage에 저장해야 합니다. 이는 추가적인 I/O 작업이 발생함을 의미하기 때문에 JWT의 장점(I/O 작업이 필요 없는 빠른 인증 처리)을 완벽하게 누릴 수 없습니다. 클라이언트도 탈취 방지를 위해 Refresh Token을 보안이 유지되는 공간에 저장해야 합니다.

[NODE] 📚 카카오 로그인 (passport-kakao) ✈️ 구현

카카오 API를 활용하여 다양한 어플리케이션을 개발해보세요. 카카오 로그인, 메시지 보내기, 친구 API, 인공지능 API 등을 제공합니다.

1. 로그인을 하고 애플리케이션 추가를 진행하자.

자신이 진행하는 포트폴리오 프로젝트를 적어주면 된다.

2. 도메인을 등록해준다.

콜백 받을 도메인을 등록해야 카카오 서버로부터 카카오 계정 정보를 넘겨 받을수 있기 때문이다.

도메인은 여러개를 적어줄수 있다.

3. 카카오 로그인을 활성화하고 Redirect URI를 적어준다.

카카오 서버에서 어느 주소로 REST API GET요청을 보낼지 적는 것이다.

4. 카카오 정보 동의 항목을 설정한다.

넘겨 받을 카카오 정보를 어느걸 받을지 설정 하는 것이다.

이 항목을 설정한다면, 사용자는 로그인 할때 동의서를 처리해야 한다.

5. 자신의 프로젝트에 키 등록

REST API키를 환경변수로 설정해서 등록해주자.

이는 kakaoStrategy에서 사용될 예정이다.

NODE 📚 카카오 로그인 (passport-kakao) ✈️ 구현

카카오 로그인 라우터 전략 구현

카카오 로그인은 로그인 인증 과정을 카카오에 맡긴다.

사용자는 번거롭게 새로운 사이트에 회원가입할 필요가 없어 좋고, 서비스 제공자는 로그인 과정을 검증된 SNS에 안심하고 맡길 수 있어 편하고 좋다.

SNS 로그인의 특징은 회원가입 절차가 따로 없다는 것이다.

카카오를 예시로 들경우, 로그인만 하면, 따로 회원가입 절차 없이 사이트에 로그인 할 수 있는걸 봐왔을 것이다.

passport-kakao 설치

kakao oauth2 login module. Latest version: 1.0.1, last published: a year ago. Start using passport-kakao in your project by running `npm i passport-kakao`. There is 1 other project in the npm registry using passport-kakao.

passport 문법은 굉장히 난해하고 어렵다.
따라서 본 강의는 passport처리과정을 하나하나씩 자세히 다룰 예정이다.
먼저 그림으로 어떻게 순서대로 처리되는지를 보여주고 바로 뒤에, 자세한 코드 설명을 통해 강의를 이어 나갈 예정이다.

코드 문법과 처리과정 그림을 계속 번갈아 보며 이해하는 것을 강력이 권장한다.

그리고 기본적으로 OAuth에 대한 지식과 passport 기본 구조에 대해서 알고 있어야 이 강좌를 이어나갈수 있기 때문에 다음 포스팅을 강력히 참고해서 습득하고 이어나가길 권장한다.

[WEB] 📚 OAuth 2.0 개념 💯 정리

OAuth란? 웹 서핑을 하다 보면 Google과 Facebook 등의 외부 소셜 계정을 기반으로 간편히 회원가입 및 로그인할 수 있는 웹 어플리케이션을 쉽게 찾아볼 수 있다. 클릭 한 번으로 간편하게 로그인할

[NODE] 📚 Passport 모듈 (그림으로 처리 과정 💯 이해하자)

Passport Passport는 이름 그대로 서비스를 사용할 수 있게끔 해주는 여권 같은 역할을 하는 모듈이다. 회원가입과 로그인은 직접 구현할 수도 있지만, 세션과 쿠키 처리 등 복잡한 작업이 많으므로

카카오 로그인 인증 전략 처리과정

1. 라우터를 통해 /kakao 요청이 서버로 온다.

2. passport . authenticate ( 'kakao' ) 를 통해서 카카오 로그인 페이지로 이동한다.

3. 카카오 로그인을 하면, 카카오 로그인 developer에서 설정한 redirect url 경로에 따라 식별값을 전달한다

• Redirect URL : 해당 클라이언트를 식별하고 식별값(Access token)을 전달할 통로

4. /kakao/callback 라우터로 요청이 오게 된다.

5. passport . authenticate ( 'kakao' ) 에서 kakaoStrategy로 인증 전략 시행. 전략에는 카카오 서버에서 보낸 카카오 계정 정보가 들어있다.

6. 카카오전략에서 DB에서 가입이력 조사

7. 가입이력 있으면 바로 성공 done()을 보내고, 없다면 바로 회원가입 시키고 성공 done()을 보냄

8. 클라이언티에 세션쿠키를 보냄으로서 로그인 인증 완료

카카오 로그인 인증 전략 코드

브라우저 태그에 요청하기 위한 href=/auth/kakao 링크 태그를 설정한다.

이 카카오톡 로그인 버튼을 누르게 되면, 라우터 GET /auth/kakao 로 접근해 카카오 로그인 과정이 시작되게 구성할 것이다.

그래서 다음과 같이 구성하면, /auth 쪽으로 서버가 요청오면 authRouter(./routes/auth.js) 파일로 가게 될 것이다.

routes/auth.js

GET /auth/kakao에서 로그인 전략을 수행하는데, 이 때 카카오 로그인 창으로 리다이렉트한다.

그리고 로그인 창에서 사용자가 ID/PW를 쳐서 로그인하면, 성공 여부 결과를 GET /auth/kakao/callback으로 받게된다.

그리고 kakao/callback 라우터에서는 카카오 로그인 전략을 다시 수행한다.

로컬 로그인과 다른 점은 passport.authenticate 메서드에 콜백 함수를 제공하지 않는다는 점 이다.

카카오 로그인은 로그인 성공 시 내부적으로 req.login을 호출하므로, 우리가 직접 호출할 필요가 없다.

콜백 함수 대신 로그인에 실패했을 때 어디로 이동할지를 failureRedirect 속성에 적어준다.

성공했을 때에도 어디로 이동할지를 미들웨어에 적어준다.

passport/kakaoStrategy.js

로컬 로그인과 마찬가지로 첫 번째 인수로 카카오 로그인에 대한 설정을 한다.

• clientID는 카카오에서 발급해주는 아이디이다. 노출되지 않아야하므로 .env 파일에 넣어줄 것이다.
• callbackURL은 카카오로부터 인증 결과를 받을 라우터 주소이다.

그 후로 들어오는 두 번째 인수 콜백이 실행된다.

먼저, 기존에 카카오를 통해 회원가입한 사용자가 있는지를 profile.id로 조회한다.

있다면 이미 회원가입이 되어 있는 경우이므로 사용자 정보와 함께 done 함수를 호출하고 전략을 종료한다.

만일 카카오를 통해 회원가입한 사용자가 없다면 해당 사용자의 회원가입을 자동 NODE 📚 카카오 로그인 (passport-kakao) ✈️ 구현 으로 진행한다.

카카오에서는 인증 후 callbackURL에 적힌 주소로 accessToken, refreshToken과 profile을 보내는데, profile에 사용자 정보들이 들어있다.

로그인 전략

보안 및 준수 접근 방식은 설계, 모니터링, 최적화의 세 가지 주요 전략을 포함합니다. 이러한 전략은 반복적으로 적용되며, 각 전략은 다른 전략에 다시 제공될 수 있습니다.

설계 전략 생성

포괄적인 보안 설계 전략은 Identity Management를 통해 보안 보증(보안 주체 인증 및 권한 부여 프로세스)을 제공합니다. ID 관리 서비스를 사용하여 유저, 파트너, 고객, 응용 프로그램, 서비스 및 기타 엔티티에 대한 권한을 인증하고 부여합니다.

또한 온프레미스와 Oracle Cloud Infrastructure 에서 호스트되는 리소스 사이에 Oracle Cloud Infrastructure 에서 비롯된 네트워크 트래픽 제어, Oracle Cloud Infrastructure 와의 트래픽 등을 배치하여 자산을 보호할 수 있습니다. 보안 조치가 없는 경우 공격자가 공용 IP 범위를 스캔하여 액세스 권한을 얻을 수 있습니다. 적절한 네트워크 보안 제어는 클라우드 배포를 시도하는 공격자를 감지, 포함 및 중지하는 데 도움이 되는 심층적인 요소를 제공할 수 있습니다.

또한 성공적인 설계 전략은 Oracle Cloud Infrastructure 의 접근 제어, 암호화 및 로깅을 사용하여 민감한 데이터 자산을 분류, 보호 및 모니터링하는 데 유리합니다. 또한 전송 중이거나 보관된 데이터에 대한 제어 기능을 사용할 수 있습니다.

애플리케이션 및 연계된 데이터는 클라우드 플랫폼에서 비즈니스 가치의 기본 저장소로 사용됩니다. 애플리케이션은 사용할 수 있고 무결성이 높은 상태로 제공되어야 하는 비즈니스 프로세스를 캡슐화 및 실행하므로 비즈니스에서 역할을 수행할 수 있습니다. 또한 애플리케이션은 기밀 유지 , 무결성 및 가용성을 높여야 하는 비즈니스 데이터를 저장하고 처리합니다 . 따라서 성공적인 전략은 애플리케이션 및 데이터 보안에 집중하고 사용해야 합니다.

모니터링 및 감사 전략 생성

상태 모델링은 모니터링을 통해 작업 부하의 보안 상태를 유지하는 작업을 말합니다. 이러한 활동은 현재 보안 관행이 유효한지 또는 새로운 요구 사항이 있는지 여부를 나타낼 수 있습니다. 상태 모델링에는 다음 범주가 포함될 수 있습니다.

• 작업 로드와 작업 로드가 실행되는 Infrastructure를 모니터합니다.
• 감사를 수행합니다.
• 감사 로그를 사용으로 설정, 획득 및 저장합니다.
• 보안 픽스를 업데이트 및 패치합니다.
• 인시던트에 대응합니다.
• 실제 장애에 기반한 공격 시뮬레이션

최적화 전략 수립

클라우드에서의 보안 운영을 위한 보안 기준이 설정되면 보안 팀은 기존 보안 모범사례에 대한 향상 및 최적화로 이어질 수 있는 클라우드별 보안 프로세스와 제어 기능을 지속적으로 조사해야 합니다.

수천 개의 기업이 클라우드 서비스를 이용해 민첩성을 높이고 IT 서비스 비용을 절감하기 위한 비즈니스 목표를 달성하고 안전하게 운영하고 있습니다. 이 모범 사례 프레임워크는 보안 운영 조직 전반의 패턴에 대한 권장 사항을 제공하여 클라우드 서비스를 안전하게 사용할 수 있도록 필요한 보안 아키텍처, 프로세스 및 제어를 제공합니다. 보안 배치부터 시작하는 것 외에 지속적인 개선 전략을 구현해야 합니다.

보안 설계 원리 따르기

이 설명서의 문서는 Oracle Cloud Infrastructure 에서 세 가지 설계, 모니터링 및 최적화 전략을 구현하고 구현 방법에 대한 권장사항을 제공하는 방법을 설명합니다. 이러한 각 권장 사항은 다음 보안 설계 원칙 중 하나 이상을 구현합니다.

이러한 원칙은 이러한 세 가지 주요 전략을 지원하고 클라우드 또는 온프레미스 데이터 센터(또는 이 둘의 하이브리드 조합)에서 호스팅되는 안전하게 설계된 시스템을 설명합니다. 이러한 원칙을 적용하면 보안 아키텍처가 기밀성, 무결성 및 가용성을 유지할 가능성이 크게 증가합니다.

올바른 전략으로 디지털화 활용 — 패널 토론

4월 20일 AG.Live CON을 시작하는 패널 토론에서 최고 수준 전문가들이 미래의 디지털 치과에서 이후 방향에 대해 논의합니다. 즉, 치과의 디지털화는 무엇을 의미하고 치과를 개선하기 위해 그것을 어떻게 사용할 수 있습니까? 실험실과 치과 시술 사이에 커뮤니케이션 간극을 어떻게 좁힐 수 있으며, 실험실 및 치과 시술의 역할은 무엇입니까? 직접 수복물의 추가 발전은 어떻게 되겠습니까?

토론에 뒤이어 내부 및 외부 전문가들과 함께 전문 프레젠테이션의 폭넓은 프로그램에서 더 깊이 있게 개별 문제와 솔루션에 대한 접근법을 다룹니다.

디지털 변환이란 주제에 맞춰 가상 엑스포(4월에 라이브)에서 많은 신제품 개발에 대한 통찰력을 제공합니다.

Prof. Dr. med. dent. Jan-Frederik Güth: Amann Girrbach에 사는 Honoraria 님
Dr. Wolfgang Reim: No financial interest to dislose
Falko Noack: No financial interest to dislose
Andreas Kunz: Amann Girrbach에 사는 Honoraria 님
Prof. DDr. Andreas Moritz: Amann Girrbach에 사는 Honoraria 님
Prof. Dr. med. dent. Daniel Edelhoff: No financial interest to dislose
Siegbert Witkowski: No financial interest to dislose
Prof. Dr. med. dent. Florian Beuer: Amann Girrbach에 사는 Honoraria 님

우리를 따르라!

Tribune Group GmbH is an ADA CERP Recognized Provider.
ADA CERP is a service of the American Dental Association to assist dental professionals in identifying quality providers of continuing dental education. ADA CERP does not approve or endorse individual courses or instructors, nor does it imply acceptance of credit hours by boards of dentistry. This continuing education activity has been planned and implemented in accordance with the standards of the ADA Continuing Education Recognition Program (ADA CERP) through joint efforts between Tribune Group GmbH and Dental Tribune International GmbH.