로그인·세션·인증 기초

로그인은 거의 모든 서비스의 출입문입니다. 그런데 인증을 어설프게 만들면 가장 먼저 뚫리는 곳이기도 합니다. 이번 챕터에서는 '내가 누구인지' 확인하고 그 상태를 안전하게 유지하는 기본 개념을 잡습니다.

인증과 인가는 다르다

• 인증(Authentication) — '당신이 누구인가'를 확인. 로그인이 여기에 해당합니다.
• 인가(Authorization) — '당신이 무엇을 할 수 있는가'를 결정. 예: 일반 사용자는 글 작성, 관리자는 삭제까지.

비밀번호는 절대 그대로 저장하지 않는다

비밀번호를 평문(그대로)으로 저장하면, 데이터베이스가 유출되는 순간 모든 사용자의 비밀번호가 노출됩니다. 그래서 비밀번호는 해시(hash)로 바꿔 저장합니다. 해시는 되돌릴 수 없는 일방향 변환입니다.

// 저장할 때: 해시로 변환
$hash = password_hash($input, PASSWORD_DEFAULT);

// 로그인 검증: 입력과 저장된 해시 비교
if (password_verify($input, $hash)) { /* 통과 */ }

좋은 비밀번호 해시(bcrypt 등)는 일부러 느리고, 사용자마다 다른 무작위 값(소금, salt)을 섞습니다. 그래서 같은 비밀번호라도 저장된 해시는 사람마다 다릅니다.

세션: 로그인 상태 유지하기

HTTP는 요청마다 서로를 기억하지 못합니다. 그래서 로그인 후에는 '이 사람은 방금 로그인한 그 사람'임을 이어줄 장치가 필요합니다. 대표적인 방법이 세션(session)입니다.

1. 로그인에 성공하면 서버가 세션을 만들고 고유한 세션 ID를 발급합니다.
2. 그 ID를 브라우저의 쿠키(cookie)에 저장합니다.
3. 다음 요청부터 브라우저가 쿠키를 함께 보내면, 서버는 ID로 '누구인지' 알아봅니다.
4. 로그아웃하면 서버가 그 세션을 폐기합니다.

쿠키를 안전하게

정리하면, 인증으로 누구인지 확인하고, 비밀번호는 해시로 저장하고, 세션·쿠키로 상태를 잇되 옵션으로 보호하며, 권한은 서버에서 매번 검사합니다. 이 기본만 지켜도 흔한 사고의 대부분을 피할 수 있습니다.