js

[Node.js/Express.js] Session, Interceptor 기능 개발 - 설계

[Node.js/Express.js] Session, Interceptor 기능 개발 입사 하자마자 진행했던 프로젝트인 paperless 회진 앱의 보안 점검 결과로 여러 문제점을 지적 당했다. 크게 앱 단계의 문제와 서버 단계의 문제로 나눌 수 있었는데, 서버쪽에 세션 미적용 SQL Injection 문제가 있었다. 이중 세션은 사실 JS의 Map변수를 이용해 로그인 하는 시점에 생성, setTimeout()을 통해 30분 후 해당 세션 삭제와 매 요청시 setTimeout()의 key값으로 clearTimeout()을 호출하고, 다시 30분 시작을 하도록 구현했었다. 테스트시에는 문제가 없었지만, 실제 서버에 올려보니 30분이 되지 않았는데 세션이 삭제되는 등 많은 문제가 있었다. 개발 당시에는 내가..