[과제] 03주차(3-1) 쿠키/세션

모의 해킹 스터디 - 3주차 추가과제 (3-1) JWT 구현을 위한(쿠키 / 세션)정리

 

JWT를 구현하기에 앞서
쿠키(Cookie) 와 세션(Session)의 사용 방식 정리

JWT도 결국 쿠키에 넣어서 사용하기 때문에 정리
세션의 경우도 마찬가지로 쿠키를 이용

 

쿠키(Cookie)

 

1) 쿠키 생성, 수정

<?php
    setcookie("쿠키이름", 쿠키값, 만료시간, 경로);
    // ex) setcookie("token",JWT, time() + 3600, "/");
?>

• setcookie() 함수를 이용하여 쿠키를 생성, 수정 가능
• 만료시간의 경우 밀리세컨(ms) 단위로 기재

 

2) 쿠키 불러오기

<?php
    echo $_COOKIE["쿠키이름"];
?>

• $_COOKIE["쿠키이름"] 으로 쿠키값을 불러올 수 있음

 

3) 쿠키 삭제

<?php
    setcookie("쿠키이름", 쿠키값, 만료시간 - (시간));
    // ex) setcookie("token", JWT, time() - 3600, "/");
?>

• 쿠키를 삭제하는 함수는 따로 존재하지 않음
• 따라서 쿠키를 수정하는 방식을 이용
• 시간값을 0이나 마이너스(-)로 하여 쿠키를 삭제

 

4) 모든 쿠키 삭제

if(count($_COOKIE)){
	foreach($_COOKIE as $key => $value){
    	setcookie($key, NULL, -3600, '/');
	}
}

• 특정 쿠키만 삭제하는 것이 아니고 모든 쿠키를 삭제하고 싶을때 사용

---

 

세션

 

1) 세션 시작

<?php
    // 세션 시작
    session_start();

• php에서 세션을 사용하기 위해 session_start()를 사용하여 세션을 시작
  • 사용자 정보가 웹 서버에 없을 경우에는 새로운 세션을 시작
  • 이미 세션이 생성되어 있다면 기존 세션을 사용
• php에서 세션을 생성하면 기본적으로 세션의 이름은 PHPSESSID로 설정
• 일시적 변경이 필요하다면 session_name('세션 이름') 을 사용
  • session_name()을 사용하려면 session_start()보다 위에 입력

<?php
    //발급된 세션 id가 있다면 세션 id를, 없다면 false를 반환
    if(!session_id()){
    	// 세션 id가 없다면 세션을 시작
    	session_start()
    }

• session_start() 함수를 같은 파일에서 계속해서 여러번 실행하는 경우
  • 이미 세션이 시작되었다는 알림을 출력
  • session_id()를 이용하여 이미 생성되어 있는 세션이 있는지 확인 후 세션을 시작하는 것이 좋음

 

2) 세션 변수

<?php
    session_start();
    // 세션 변수 등록
    $_SESSION['userID'] = 'admin';
    // 등록 변수 사용
    echo "userID : " . $_SESSION['userID'];

• 세션 변수 : $_SESSION['변수명'] = Data

 

3) 세션 변수 해제

<?php
    session_start();
    // 등록된 세션 변수 해제
    unset($_SESSION['userID']);

• 세션 해제 : unset($_SESSION['변수명']);.
  • 해당 변수가 등록이 해제되어 사용 불가능하게 됨

<?php
    session_start();
    // 모든 세션 변수 해제
    session_unset();
    // 세션 완전히 종료
    session_destroy();

• 모든 세션 해제 : session_unset()
• 세션 완전 종료 : session_destroy()

 

4) 세션 변수 등록 여부 확인

<?php
    session_start();
    // 세션 변수 등록 여부 확인
    if(!isset($_SESSION['userID'])){
    	// (등록 변수가 없다면) 새로운 변수 생성
        $_SESSION['userID'] = 'data';
    }else{
    	// 기존 변수 데이터 변경
        $_SESSION['userID'] = 'user'
    }

• isset() 함수를 사용하여, 해당 변수가 등록되어있는지 확인
• isset($_SESSION['변수명']) 형태로 사용
  • 해당 변수가 등록되어 있다면 True
  • 등록되어있지 않다면 False
• 변수이기 때문에 값을 대입하여 변경 가능

 

5) 세션 ID 변경

<?php
    session_start();
    // 세션 ID 신규 발급
    session_regenerate_id();

• php의 세션은 브라우저의 쿠키에 등록된 ID 를 사용하여 서버에 저장된 데이터에 접근
• 그러므로 세션 ID를 탈취 당한다면 세션에 저장된 데이터 또한 탈취 당할 위험이 높음
• 그래서 일반적으로 사용자의 인증정보 변동(로그인/로그아웃), 설정 변경 등의 중요한 변경사항이 있을 때마다 세션 ID를 변경해 줌
• php에서 새로운 세션 ID를 발급받기 위해 session_regenerate_id() 함수를 사용 (쿠키를 생성)
  • session_regenerate_id() 함수의 기본 설정은 세션 ID를 변경 후, 이전의 세션 데이터를 삭제하지 않음
  • 세션 ID만 새로 발급하여, 데이터를 복제하는 방식
  • 서버에서 확인 해보면, ID는 다르지만 같은 데이터를 가진 세션 파일이 확인됨
  • 이전 데이터를 지우고 싶다면, session_regenerate_id(true) 형식으로 파라미터를 사용하여 이전 세션 데이터를 삭제하도록 함 (새로운 ID 발급, 이전 세션 완전히 삭제)

 

6) 세션 종료

<?hphp
    // 세션 데이터 접근을 위한 세션 시작
    if(!session_id()){
    	session_start();
    }
    // 세션 데이터를 빈 배열로 초기화 or session_unset(); 사용
    $_SESSION = array();
    // 세션 ID 값이 저장된 쿠키 삭제
    if(ini_get("session.use_cookies")){
    	$params = session_get_cookie_params();
        setcookie(
        	session_name(), '', time() - 42000,
            $params["path"], $params["domain"],
            $params["secure"], $params["httponly"]
        );
    }
    // 세션 파일 삭제
    session_destroy();

• session_destroy() 함수는 현재 세션의 모든 데이터를 파괴하는 함수
  • 세션의 데이터가 저장되어 있는 파일을 삭제하는 것
  • 그러나 단지 세션 파일을 삭제하는 것일 뿐
  • 세션 ID 값이 있는 쿠키는 그대로 존재
  • 그러므로 setcookie() 함수를 이용하여 세션 ID가 저장된 쿠키를 강제로 만료시켜 삭제
• $_SESSION 변수에 빈 배열을 넣는 이유도 동일
  • session_destroy() 함수가 $_SESSION 변수까지 해제하는 것이 아니기 때문에
  • 빈 배열을 넣어 초기화
  • session_unset() 함수를 사용해도 같은 동작을 실행

 

7) 세션 유지시간

• 기본적으로 php의 세션 관리는 확률로 이루어 짐
  • gc_probability / gc_divisor 의 확률로 gc_maxlifetime에서 지정한 시간이 지난 데이터를 삭제
  • 위에서는 gc_probability 가 0으로 설정되어 있지만, 일반적으로는 1로 설정
  • (즉, 세션이 시작될 때 1/1000의 확률로 gc가 실행되고, 모든 세션을 조회)
  • 마지막 요청으로부터 gc_maxlifetime에 설정된 시간이 지난 세션이 있다면 삭제
• 기본값은 1440초 (= 24분) : 이래서 phpmyadmin이 로그인 후 1440초간 사용하지 않으면 로그아웃 되는 것
• session.gc의 실행 방식이 모든 세션의 생성시간을 조회하다보니, 세션이 많이 생성되어 있는 경우, 서버에 부담이 됨
  • 그래서 gc_probability 의 값을 0으로 설정하여 수동으로 실행하는 것이 좋다고 함

Reference - https://www.php.net/manual/en/function.session-gc.php

PHP: session_gc - Manual

 

8) 추가 보안 설정

 

세션은 단순 쿠키만 사용하는 것 보다는 데이터 보안이 좋을 뿐, 쿠키를 함께 사용하기 때문에 추가적인 보안이 필요

 

Reference - https://www.php.net/manual/en/session.security.ini.php

PHP: Securing Session INI Settings - Manual

---

JWT 구현

 

JWT를 이용한 로그인 페이지 (로그인 유지 구현)

모의 해킹 스터디 - 3주차 과제 (3-2) JWT 구현(로그인 유지)

---

후기

 

기존에 세션(SESSION)을 이용함에 있어, 제대로된 사용을 하지 못한 점을 깨달음

• 과제들에서 사용시에 세션의 삭제가 제대로 이루어지지 않았던 문제들을 확인
• 쿠키와 세션에 대한 이해 부족 상태로 쓰고 있었음을 깨달음
• JWT 구현을 위해 미리 한번 정리하길 잘했다는 생각이 듬

 

 

 

 

질문 환영, 수정 및 보완에 대한 지적 환영