기본 콘텐츠로 건너뛰기

socketcluster tutorial - 5. 인증 (Authentication)

인증


개요


v1.3.0 이전에는 SocketCluster의 인증이 세션을 중심으로 돌아갔습니다. v1.3.0부터 인증은 JSON 웹 토큰 (JWT)을 기반으로합니다. SC의 인증 토큰 시스템은 다음 문제를 해결하도록 설계되었습니다.

사용자가 자격 증명을 다시 입력할 필요없이 연결이 끊어진 상태를 복구한 후 로그인 상태를 유지할 수 있습니다.
하나만 사용하여 로그인하면 열려있는 모든 브라우저 탭에서 사용자를 인증 할 수 있습니다. (여러 브라우저 탭간에 인증 토큰 공유).
SC의 인증 시스템에 대한 중요한 설계 고려 사항은 작업해야하지만 특정 데이터베이스 엔진이나 기본 데이터 (사용자 계정 정보 포함)와 완전히 독립적이어야한다는 것입니다. 이를 달성하기 위해 SC는 JWT 인증 토큰의 개념을 도입해야했습니다.

간단히 말해서, 인증 토큰은 서버에서 비밀 authKey로 서명하고 인증 (로그인) 프로세스의 일부로 클라이언트에 전송하는 사용자 정의 Object/JSON입니다 (SocketCluster 생성자의 authKey 옵션은 여기 참조). 토큰의 데이터는 클라이언트에 제공할 때 서명하므로 토큰을 무효화하지 않고 토큰을 수정할 수 없습니다. 즉, 서버 소켓에 유효한 auth 토큰이 첨부되어 있으면 (socket.authToken 참조) 클라이언트의 토큰이 서버에 의해 서명되었으므로 서버의 데이터가 유효하다는 것을 알 수 있습니다.

인증 토큰에 대해 주의해야 할 중요한 사항 중 하나는 클라이언트가 성공적으로 인증 된 이후에 클라이언트에 제공해야하며 클라이언트와 서버 사이에 비밀로 유지되어야합니다 (다른 클라이언트와 공유되지 않음). SC의 인증 토큰은 특정 사용자와 관련된 모든 종류의 액세스 제어 정보를 저장하는 데 사용할 수 있습니다. 일반적으로 사용자 이름 데이터만 포함하는 간단한 토큰을 만드는 것으로 충분합니다:
{
  username: 'bob123'
}

인증 절차


SC에서 인증을 구현하는 올바른 방법은 하나가 아닙니다. WebSocket 연결 전에 HTTP를 통해 인증할 수 있으며 나중에도 할 수 있습니다.

HTTP-기반 절차
HTTP 기반 인증에 대한 자세한 내용은 이 토론을 참조하십시오.


WebSocket-기반 절차
웹소켓 기반 인증 절차에 대한 샘플입니다:
// Client code
socket = socketCluster.connect();
// 'connect'이벤트는 boolean 형인 'isAuthenticated' 속성이
// 있는 상태 객체를 전달합니다. 연결이 설정된 시점에 소켓이 유효한
//  토큰을 전달하면 true입니다.
// 핸드 셰이크 중에 JWT 인증에 실패하면 상태 객체에
// 'authError'속성 (Error 객체가 있음)을 포함 할 수 있습니다.
socket.on('connect', function (status) {
  if (status.isAuthenticated) {
    // goToMainScreen();
  } else {
    // goToLoginScreen();
  }
}
사용자가 인증되지 않아 로그인 화면으로 전송된다고 가정합니다. 우리는 클라이언트에서 '로그인'이벤트를 발생시켜 로그인합니다.
// Client code
var credentials = {
  username: 'alice123',
  password: 'thisisapassword654'
};
socket.emit('login', credentials, function (err) {
  // 이 콜백은 서버 응답을 처리합니다.
  // 필요하면 별도의 'loginResponse'이벤트를 수신할 수 있지만
  // 이와 같은 콜백 전달 패턴이 조금 더 효율적입니다.
  if (err) {
    // showLoginError(err);
  } else {
    // goToMainScreen();
  }
});  
그런 다음 서버에 로그인을 처리 할 수있는 몇 가지 코드가 있습니다:
// Server code
// 이는 당신이 MySQL을 데이터 베이스로 사용하는 경우를
// 살짝 단순화한 버전입니다.
socket.on('login', function (credentials, respond) {
  var passwordHash = sha256(credentials.password);
  var userQuery = 'SELECT * FROM Users WHERE username = ?';
  mySQLClient.query(userQuery, [credentials.username], function (err, rows) {
    var userRow = rows[0];
    var isValidLogin = userRow && userRow.password === passwordHash;
    if (isValidLogin) {
      respond();
      // 이렇게 하면 클라이언트에게 토큰을 제공하므로
      // 연결이 끊어 지거나 나중에 앱을 다시 방문 할 때
      // 다시 로그인 할 필요가 없습니다.
      socket.setAuthToken({username: credentials.username, channels: userRow.channels});
    } else {
      // Passing string as first argument indicates error
      respond('Login failed');
    }
  });
});

토큰 확인 및 사용

HTTP 또는 WebSocket 인증 절차 여부에 관계없이 동일한 방식으로 JWT 토큰을 검증하고 읽을 수 있습니다. SC가 토큰을 설정하거나 캡처한 후 이를 사용하는 가장 좋은 방법은 미들웨어 기능을 사용하는 것입니다 (예: 게시 미들웨어 사용):
// Server code
wsServer.addMiddleware(wsServer.MIDDLEWARE_PUBLISH_IN, function (req, next) {
  var authToken = req.socket.authToken;
  if (authToken && authToken.channels.indexOf(req.channel) > -1) {
    next();
  } else {
    next('You are not authorized to publish to ' + req.channel);
  }
});
이 경우 토큰에는이 게시 작업을 인증하는 데 필요한 모든 정보를 포함하지만 토큰 자체에 채널 목록을 저장할 필요는 없습니다. 사용자 ID나 이름이 있는 경우 데이터베이스를 확인할 수 있습니다. SC의 미들웨어에 대한 자세한 정보는 미들웨어 및 권한 섹션을 참조하십시오.

WebSocket 연결을 설정하기 전에 HTTP를 통해 인증을 수행하려면 직접 토큰을 처리해야합니다. 이 댓글을 참조하십시오. 이제 SC는 서버 측에서 토큰을 서명(생성)하고 검증하기위한 기본 'AuthEngine'을 제공합니다 - 'worker.auth'속성에서 workerController (worker.js)에 접근할 수 있습니다 - 여기 구현을 참조하십시오: 기본값 서버 인증 엔진. Node.js JSON 웹 토큰 라이브러리에 대한 자세한 정보는 jsonwebtoken에서 찾을 수 있습니다.

Videos by Nick Kotenberg

013 Client side logins authentication with SocketCluster with the client

이 블로그의 인기 게시물

Rinkeby Test Network에 접근하는 간단한 방법.

dApp 개발 시 실제 계정으로 트랜젝션을 보내면 너무나 비싸므로
Rinkeby나 Ropsten 같은 테스트 네트워크에 연결하여 마이닝 없이 faucet을 통해 ether를 받고
그걸로 트랜젝션 테스트를 하면 편리하다.

보통 https://github.com/ethereum/wiki/wiki/Dapp-using-Meteor#create-your-%C3%90app 문서를 보고 시작하는데
geth --rpc --rpccorsdomain "http://localhost:3000" 이렇게 하면 마이닝부터 해야하니 귀찮다.
https://infura.io/#how-to 를 보고 계정을 신청하자. 이런 것도 호스팅이 되다니 좋은 세상이네.
간단한 개인 정보 몇가지를 입력하고 나면 Access Token이 나온다.

가입 후  https://infura.io/register.html 화면

Access Token이 있는 네트워크 주소로 geth를 연결한다.
geth --rpc --rpccorsdomain "https://rinkeby.infura.io/<YOUR_ACCESS_TOKEN>" 이러면 오케이.

meteor project를 만들고
meteor add ethereum:web3 추가한 다음 console에서
web3.eth.getBalance(web3.eth.coinbase, (error,result)=>console.log(
  error, result.toFormat()
)); 자신의 coinbase의 잔액을 구해보자.
6eth가 최소단위인 wei로 보면 6,000,000,000,000,000,000 정도.
https://faucet.rinkeby.io/ 여기에서 받아온 (무료로/마이닝없이) ether가 잘 나온다.
여기서부터 시작하는게 좋아보인다.

ESP32 DevBoard 개봉기

오늘 드디어 손에 넣었다. ESP32 DevBoard!
Adafruit 에서 15개 한정 재입고 트윗을 보고 광속 결제.
그리고 1주일의 기다림. 사랑해요 USPS <3
알리를 이용하다보니 1주일 정도는 광속 배송임.
물론 배송비도 무자비함 -_ㅜ
15개 한정판 adafruit 발 dev board
그놈이 틀림없으렸다.
오오 강려크한 포스
ESP32_Core_board_V2라고 적혀있군요.
ESP32 맞구요. 네네. ESP32-D0WDQ6 라고 써있는데 D → Dual-core 0 → No internal flash W → Wi-Fi D → Dual-mode Bluetooth Q → Quad Flat No-leads (QFN) package 6 → 6 mm × 6 mm package body size 라고 함.
길이는 이정도
모듈크기는 이정도
코어는 6mm밖에 안해! 여기에 전기만 넣으면 BLE+WIFI!
밑에 크고 발 8개 달린 놈은 FM25Q32라고 32Mbit 플래시메모리
ESP8266 DevBoard 동생이랑 비교 크고 아름다운 레귤레이터랑 CP2102 USB Driver가 붙어있음.
ESP8266 DevBoard엔 CH340G 인데 확 작아졌네.
머리를 맞대어 보았음.
모듈크기는 아주 약간 ESP32가 더 큰데 워낙에 핀이 많고 촘촘함. ESP8266인 ESP12는 핀 간격이 2.00mm인데 비해
ESP32는 1.27mm 밖에 안함.
딱봐도 비교가 될 정도.
https://www.sparkfun.com/news/2017 크고 아름다운 Pinouts

ESP8266 보드랑 별로 안달라보인다.
http://www.silabs.com/products/mcu/pages/usbtouartbridgevcpdrivers.aspx#mac
에서 CP2102 드라이버를 설치하고
screen 으로 연결해보자.
내 경우엔 tty.SLAB_USBtoUART 로 잡혔다.
어디서 기본 속도가 115200bps 라고 들은 적이 있어서
screen /dev/tty.SLAB_USBtoUART …

MQTT 접속해제 - LWT(Last will and testament)

통신에서 중요하지만 구현이 까다로운 문제로 "상대방이 예상치 못한 상황으로 인하여 접속이 끊어졌을때"의 처리가 있다.

이것이 까다로운 이유는 상대방이 의도적으로 접속을 종료한 경우는 접속 종료 직전에 자신의 종료 여부를 알리고 나갈 수 있지만 프로그램 오류/네트웍 연결 강제 종료와 같은 의도치 않은 상황에선 자신의 종료를 알릴 수 있는 방법 자체가 없기 때문이다.
그래서 전통적 방식으로는 자신의 생존 여부를 계속 ping을 통해 서버가 물어보고 timeout 시간안에 pong이 안올 경우 서버에서 접속 종료를 인식하는 번거로운 방식을 취하는데

MQTT의 경우 subscribe 시점에서 자신이 접속 종료가 되었을 때 특정 topic으로 지정한 메시지를 보내도록 미리 설정할 수 있다.
이를 LWT(Last will and testament) 라고 한다. 선언을 먼저하고 브로커가 처리하게 하는 방식인 것이다.

Last Will And Testament 라는 말 자체도 흥미롭다.
법률용어인데 http://www.investopedia.com/terms/l/last-will-and-testament.asp
대략 내가 죽으면 뒷산 xx평은 작은 아들에게 물려주고 어쩌고 하는 상속 문서 같은 내용이다.

즉, 내가 죽었을(연결이 끊어졌을) 때에 변호사(MQTT Broker - ex. mosquitto/mosca/rabbitMQ등)로 하여금 나의 유언(메시지)를 상속자(해당 토픽에 가입한 subscriber)에게 전달한다라는 의미가 된다.

MQTT Client 가 있다면 한번 실습해보자.
여러가지가 있겠지만 다른 글에서처럼 https://www.npmjs.com/package/mqtt 을 사용하도록 한다.

npm install mqtt --save 로 설치해도 되고 내 경우는 자주 사용하는 편이어서 npm install -g mqtt 로 전역설치를 했다.

호스트는 무료 제공하고 있는 test.mosquitto.org 를 사용한다.
실 사용시엔 -h 옵션을 …