[Node.js] bcrypt 로 회원가입 구현하기

 

 

회원가입 시 사용자로부터 수집한 아이디와 비밀번호 같은 정보를 데이터베이스에 저장하게 됩니다. 하지만 이때 주의할 점은 비밀번호와 같은 민감한 정보를 암호화하지 않고 평문 그대로 저장할 경우입니다. 만약 데이터베이스가 유출되면, 악의적인 사용자가 평문 비밀번호를 통해 손쉽게 로그인하거나 다양한 공격을 시도할 수 있기 때문입니다.

 

따라서 보안을 강화하기 위해 비밀번호는 암호화(해싱) 과정을 거쳐 저장해야 합니다. 해싱을 통해 비밀번호를 암호화하면, 데이터베이스 유출 시에도 비밀번호 원문이 아닌 해시값이 노출되므로 보안을 유지할 수 있습니다.

 

 

오늘 포스팅은 bcrypt 라이브러를 활용한 민감한 정보를 암호화하여, 관리하는 방법을 알아보도록 합시다.

 

 

 

1) Node.js 프로젝트에 bcrypt라는 라이브러리를 설치

npm install bcrypt

 

 

2) bcrypt로 비밀번호 해싱하기

 

- 코드 설명

1. bcrypt.hash(data.password, saltRounds): 사용자가 입력한 비밀번호와 salt를 사용하여 암호화된 비밀번호를 생성합니다.

2. data.password = hashedPassword: 해시된 비밀번호를 데이터에 저장하여 텍스트 비밀번호 대신 안전한 형식으로 저장합니다.

 

이렇게 해싱한 비밀번호는 데이터베이스에 안전하게 저장할 수 있어, 해커가 서버에 접근하더라도 비밀번호를 쉽게 알아낼 수 없습니다.

const bcrypt = require("bcrypt");
const saltRounds = 10; // 해시 알고리즘의 복잡도 설정


//회원가입
const addUser = async (data) => {
  console.log("data : ", data);

  // 비밀번호 암호화
  const hashedPassword = await bcrypt.hash(data.password, saltRounds);
  data.password = hashedPassword;

  return await executeQuery("UserMapper", "insertUser", data);
};

 

 

 

3)  bcrypt와 JWT를 활용한 로그인 처리

 

-코드설명

1. bcrypt.compare(data.password, user.PSWORD) : 사용자가 입력한 비밀번호와 데이터베이스에 저장된 암호화된 비밀번호(user.PSWORD)를 비교합니다. 비밀번호가 일치하면 로그인 성공으로 간주하고 다음 단계로 넘어갑니다. 비밀번호가 일치하지 않으면 "비밀번호가 맞지 않습니다"라는 오류 메시지를 반환합니다.

 

2. jwt.sign() : 로그인이 성공하면 jwt.sign() 함수를 사용하여 JWT 토큰을 생성합니다. 이 토큰은 사용자 ID를 담은 페이로드와 secretKey를 바탕으로 서명되며, 유효기간은 1시간(expiresIn: "1h")으로 설정됩니다.

const userLogin = async (data) => {
  const res = await executeQuery("UserMapper", "selUserLogin", data);

  if (res[0][0] != null) {
    const user = res[0][0]; // DB에서 가져온 사용자 정보
    const isPasswordCorrect = await bcrypt.compare(data.password, user.PSWORD);
    if (isPasswordCorrect) {
      // JWT 토큰 생성
      const token = jwt.sign({ userId: data.userId }, secretKey, {
        expiresIn: "1h",
      }); // userId를 페이로드에 담고 유효기간 1시간 설정
      return {
        code: "200",
        token, // 토큰 반환
      };
    } else {
      return { code: "400", msg: "비밀번호가 맞지 않습니다." };
    }
  } else {
    return { code: "400", msg: "등록된 이메일 정보가 없습니다." };
  }
};

 

 

마무리

 

이번 포스팅에서는 Node.js 환경에서 bcrypt와 JWT를 활용하여 안전한 사용자 로그인 기능을 구현하는 방법을 살펴보았습니다. 비밀번호 해싱과 토큰 기반 인증은 현대 웹 애플리케이션에서 필수적인 보안 요소로, 사용자 데이터를 안전하게 보호하는 데 큰 역할을 합니다.

 

앞으로도 보안에 신경 쓰며 사용자 정보를 안전하게 보호하는 방법을 계속해서 연구하고 적용해 나가길 바랍니다.
웹 애플리케이션 개발에 있어 보안은 선택이 아닌 필수임을 항상 기억해 주세요.

이 글이 여러분의 프로젝트에 도움이 되기를 바라며, 궁금한 점이 있다면 언제든지 댓글로 남겨주세요. 감사합니다!