[보안] : .ENV 적용하기

하고 싶은 것

로그인과정에서 생성되는 JSONWEBTOKEN의 SECRET_KEY를 "보안유지"를 위해 환경변수 처리를 하고자 한다.

라이브러리 세팅

const express = require('express');
const router = express.Router();
const jwt = require('jsonwebtoken');
require('dotenv').config(); // 

const { Users } = require('../models');

API 설정

router.post('/login', async (req, res) => {})

Request Data

  const { email, password } = req.body;

예외처리

    // 유저확인
    const user = await Users.findOne({ where: { email } });
    
    if (!user) {
      return res.status(409).json({ errorMessage: '존재하지 않는 계정입니다.' });
    }
    
    // user의 이메일과 패스워드 확인
    if (email !== user.email || password !== user.password) {
      return res.status(409).json({ errorMessage: '이메일 또는 패스워드를 확인해 주세요.' });
    }

JWT 생성

    const token = jwt.sign({ user_id: user.user_id }, "customized-secret-key");
    
    // 여기의 코드에서 생성에 사용된 customized-secret-key 을 "환경변수" 처리하고자 한다.

"customized-secret-key" 의 역할

JWT 구성요소 중 SIGNATURE부분을 차지하며, 해당 토큰을 이루고 있는 비밀키값이라고 할 수 있다.

위의 시크릿키의 보안이 유지가 되어있지 않다면, 로그인 했을 당시에 생성되는 token을 탈취당할 수 있으며, 그렇게 되면 개인정보 유출 이슈가 생길 수 있다고 생각한다.

그러므로 해당 시크릿키를 환경변수 처리를 하고자 한다.

---

환경변수 처리하기

 

 

.ENV 파일 생성 및 코드 세팅

Node.js 에서는 민감한 정보를 소스 코드에서 분리하기 위해 .env 파일을 사용한다고 한다.

1. .env 파일 생성

 

2. 코드 세팅

환경변수 세팅은 key - value 의 형태로 세팅을 실시해줘야 한다.

SECRET_KEY=customized-secret-key

// SECRET_KEY 라는 값에 기존의 시크릿키였던 customized-secret-key 를 담았다.

.env 파일 세팅 끝.

 

dotenv 패키지 설치

npm i dotenv

// i 는 install 의 약자로 둘 다 동일한 역할을 하는 명령어이다.

// package.json

  "dependencies": {
    "cookie-parser": "^1.4.6",
    "dotenv": "^16.3.1",     // 설치 확인 완료.
    "express": "^4.18.2",
    "jsonwebtoken": "^9.0.1",
    "mysql2": "^3.5.1",
    "nodemailer": "^6.9.3",
    "sequelize": "^6.32.1"
  },
  "devDependencies": {
    "nodemon": "^3.0.1",
    "sequelize-cli": "^6.6.1"
  }

 

require("dotenv").config()

해당 코드는 Node.js 환경에서 .env 파일의 환경 변수를 읽어오는 데 사용되는 코드입니다.
환경변수 처리된 코드를 사용하고자 하는 작업파일에서 환경변수 처리전에 해당 코드를 실행시켜준다.

dotenv패키지를 변수로 받아서 변수뒤에 config()를 실행시켜도 된다.

const dotenv = require('dotenv');
dotenv.config();

 

 

process.env."환경변수 KEY"

.env 파일에 세팅한 환경변수는  process.env 객체를 통해 접근할 수 있다.

    // jwt 생성
    const token = jwt.sign({ user_id: user.user_id }, process.env.SECRET_KEY);
    
    // 기존의 "customized-secret-key"를 환경변수 처리한 key값인 SECRET_KEY를 사용한다.

이렇게 해서 유저정보에 대해 민감한 정보를 지닌 시크릿키를 환경변수 처리하는것에 성공했다.

 

오늘 공부한 환경변수를 이용해서 현재 이용중인 DB의 세팅값도 환경변수 처리를 할 수 있겠다는 생각이 든다.

왜냐면, 가끔 .gitignore에 config/ 를 통해서 제외를 시켜줌에도 불구하고 같이 github 에 commit 되는 상황이 발생했다.

이 부분에서 환경변수를 처리하고 세팅한 환경변수값으로 DB세팅을 진행한다면 개인정보 보안유지에 좋은 역할을 할 것 같다는 생각이 든다 ^^

 

#환경변수 #ENV #시크릿키 #보안유지