Session? Cookie?

Session

사용자의 정보를 사용자가 아닌 서버 상에서 일정시간 동안 관리하면서 저장한다. 서버가 클라이언트에게 유일한 ID를 부여합니다. 유효한 ID가 있는 상태에서만 데이터를 관리할 수 있기 때문에 중요한 내용은 Cookie보단 Session에서 관리합니다.

 

Cookie

사용자의 정보를 사용자 메모리에 일정시간 동안 관리하는 것. 그래서 쿠키는 클라이언트에서 관리가 됩니다. 

이름, 만료날짜, 값 등으로 구성. Set-cookie는 서버가 클라이언트에 주는 응답이고 Cookie는 클라이언트가 서버에게 보내는 요청에 담겨져있습니다. 
 개인정보 보호를 위해서 Max-Age , Expire로 쿠키가 만기되기는 기간도 정해줘야합니다. Domain 으로 호스트를 지정해야 CSRF를 방지할 수 있습니다.

 

Encryption

암호화는 일련의 정보를 임의의 방식을 사용하여 다른 형태로 변환하는 과정으로 소유한 사람을 제외하고 이해할 수 없도록 알고리즘을 이용해서 정보를 전달!  -(crypto는 Node JS내장 암호화 모듈, 

 

Salt

해시하려는 값에 추가하는 값! 암호화의 알고리즘 안다면 바로 원본을 알 수 있기 때문에 원본값 + Salt값 => hash값으로 만들어서 보안성을 강화. 안 그럴 경우 Rainbow table과 같이 쉬운 암호들은 해킹을 당하기 쉽다. 

 

Token

인증을 위해서 암호화가 된 문자열을 말합니다. 클라이언트가 token을 가지면 인증이 된 상태로 인지하고 통신하기 때문에 http의 stateless의 한계를 극복할 수 있다.  유저의 활성화에 관계없이 token의 정합성만 판단! 그래서 클라이언트 상태 관리에 대한 기회비용이 줄어들기 때문에 서버확장에 유리함.