[Node.js 교과서] #4. 노드 내장 모듈 사용하기

노드 내장 모듈 사용하기

노드는 웹 브라우저에서 사용되는 자바스크립트보다 더 많은 기능을 제공한다. 운영체제 정보에도 접근할 수 있고, 클라이언트가 요청한 주소에 대한 정보도 가져올 수 있다. 바로 노드에서 제공하는 모듈을 사용하면 된다.

1. OS 모듈

웹 브라우저에 사용되는 자바스크립트는 운영체제의 정보를 가져올 수 없짐나, 노드는 os 모듈에 정보가 담겨 있어 정보를 가져올 수 있다.

 

 

 

 

 

 

 

2. path 모듈

폴더와 파일의 경로를 쉽게 조작하도록 도와주는 모듈. path 모듈이 필요한 이유 중 하나는 운영체제별로 경로 구분자가 다르기 때문이다. 크게 Windows 타입과 POSIX 타입으로 구분된다. POSIX는 유닉스 기반의 운영체제들로 macOS와 리눅스가 속해있다.

• Windows : \로 구분 (ex. C:\Users\Zero)
• POSIX : /로 구분 (ex. /home/zerocho)

 

 

 

 

 

☑ Note 어떤 때 \\를 사용하고 어떤 때 \를 사용하나요?

콘솔 결과를 보면 어떤 때는 \\를 사용하고, 어떤 때는 그냥 \를 사용하여 Windows 경로를 표시했ㄷ. 기본적으로 경로는 \ 하나를 사용해서 표시한다. 하지만 자바스크립트 문자열에서는 \가 특수문자이므로 \를 두 갭 붙여 경로를 표시해야 한다. 

ex. \n은 자바스크립트 문자열에서 개행을 뜻함. 따라서 C:\node와 같은 경로에서 의도치 않게 오류가 발생할 수 있으므로 C:\\node처럼 표시

path 모듈은 위와 같은 경우에 발생하는 문제를 알아서 처리해준다. → Windows에서 path 모듈이 꼭 필요한 이유

 

☑ Note 상대경로와 절대경로

• 절대경로 : 푸트 폴더Windows의 C:\나 POSIX의 /)나 노드 프로세스가 실행되는 위치가 기준이 된다.
• 상대경로 : 현재 파일이 기준이 된다. 현재 파일과 같은 경로면 점 하나(.)를, 현재 파일보다 한 단계 상위 경로면 점 두 개(..)를 사용해 표현한다.

3. url 모듈

인터넷 주소를 쉽게 조작하도록 도와주는 모듈.

 

url 처리의 2가지 방식

• WHATWG 방식 (노드 버전 7에서 추가) 방식의 url (아래 그림의 아랫 부분)
• 기존 노드에서 사용하던 방식의 url (아래 그림의 윗 부분)

https://thebook.io/080229/ch03/05/03/

① 기존 노드 URL 방식

• url.parse(주소) : 주소를 분해한다. WHATWG 방식과 비교하면 username과 password 대신 auth 속성이 있고, searchParams 대신 query가 있다.
• url.format(객체) : 분해되었던 url 객체를 다시 원래 상태로 조립한다. WHATWG 방식의 url과 기존 노드의 url 모두 사용 가능하다. 

 

 

② WHATWG URL 방식

WHATWG와 노드의 url은 취향에 따라 사용하면 되지만, 노드의 url 형식을 꼭 사용해야 하는 경우가 있습니다. 주소가 host 부분 없이 pathname 부분만 오는 경우(/book/bookList.aspk), WHATWG 방식은 이 주소를 처리할 수 없다. 

WHATWG 방식은 search 부분을 searchParams라는 특수한 객체로 반환하므로 유용하다. search 부분은 보통 주소를 통해 데이터를 전달할 때 사용된다. search는 물음표(?)로 시작하고, 그 뒤의 키=값 형식으로 데이터를 전달한다. 여러 키가 있을 경우에는 &로 구분한다.

ex) http://www.gilbut.co.kr/?page=3&limit=10&category=nodejs&category=javascript 

→ ?page=3&limit=10&category=nodejs&category=javascript 부분이 search

 

 

 

 

 

query 같은 문자열보다 searchParams가 유용한 이유는 query의 경우 위와 같은 처리를 위해서는 queryString 모듈을 한 번 더 사용해야 하기 때문이다.

4. queryString 모듈

WHATWG 방식의 url 대신 기존 노드의 url을 사용할 때 search 부분을 사용하기 쉽게 객체로 만드는 모듈이다.

 

 

5. crypto 모듈

다양한 방식의 암호화를 도와주는 모듈이다. 몇 가지 메서드는 익혀두면 실제 서비스에도 적용할 수 있어 정말 유용하다.

 

5-①. 단방향 암호화

• 단방향 암호화 : 복호화할 수 없는 암호화 방식

비밀번호는 보통 단방향 암호화 알고리즘을 사용해서 암호화한다. 즉, 단방향 암호화는 한 번 암호화하면 원래 문자열을 찾을 수 없다.

단방향 암호화 알고리즘은 주로 해시 기법을 사용한다. 

• 해시 기법 : 어떠한 문자열을 고정된 길이의 다른 문자열로 바꿔버리는 방식

입력 문자열의 길이는 다르지만, 출려 문자열의 길이는 고정되어 있다.

 

☑ Note 복호화할 수 없는 암호화가 왜 필요할까?

고객의 비밀번호를 암호화해서 데이터베이스에 저장한다. 그리고 로그인할 때마다 입력받은 비밀번호를 같은 암호화 알고리즘으로 암호화한 후, 데이터베이스의 비밀번호와 비교하면 된다. 원래 비밀번호는 어디에도 저장되지 않고 암호화된 문자열로만 비교하는 것이다.

 

 

 

• createHash(알고리즘) : 사용할 해시 알고리즘을 넣어준다. md5, sha1, sha256, sha512 등이 가능하지만, md5와 sha1은 이미 취약점이 발견되었다. 현재는 sha512 정도로 충분하지만, 나중에 sha512마저도 취약해지면 더 강화된 알고리즘으로 바꿔야 한다.
• update(문자열) : 변환할 문자열을 넣어준다.
• digest(인코딩) : 인코딩할 알고리즘을 넣어준다. base64, hex, latin1이 주로 사용되는데 그 중 base64가 결과 문자열이 가장 짧아 애용된다. 결과물로 변환된 문자열을 반환한다.

 

 

가끔 nopqrst라는 문자열이 qvew로 변환되어 abcdefgh를 넣었을 때와 똑같은 출력 문자열로 바뀔 때도 있다. 이런 상황을 충돌이 발생했다고 표현한다. 해킹용 컴퓨터의 역할은 어떠한 문자열이 같은 출력 문자열을 반환하는지 찾아내는 것이다. 여러 입력 문자열이 같은 출력 문자열로 변환될 수 있으므로 비밀번호를 abcdefgh로 설정했어도 nopqrst로 뚫리는 사태가 발생하게 된다.

해킹용 컴퓨터의 성능이 발달함에 따라 기존 해시 알고리즘들이 위협받고 있다. 대신 해시 알고리즘도 더 강력하게 진화하고 있다. 언젠가 sha512도 취약점이 발견될 것이다. 그렇게 된다면 더 강력한 알고리즘인 sha3으로 이전하면 된다.

현재는 주로 pbkdf2나 bcrypt, scrypt라는 알고리즘으로 비밀번호를 암호화하고 있다. 이중에 노드에서 지원하는 pbkdf2에 대해 알아보자. pbkdf2는 간단히 말하면 기존 문자열에 salt라고 불리는 문자열을 붙인 후 해시 알고리즘을 반복해서 적용하는 것이다.

 

 

 

먼저 randomBytes() 메서드로 64 바이트 길이의 문자열을 만들어준다. 이것이 salt가 된다. 위 코드는 sha512로 변환된 결괏값을 다시 sha512로 변환하는 과정을 10만 번 반복하는 코드이다.

 

 

 

pbkdf2는 간단하지만 bcrypt나 scrypt보다 취약하므로 나중에 더 나은 보안이 필요하면 scrypt 방식을 사용하면 된다.

5-②. 양방향 암호화

• 양방향 대칭형 암호화 : 암호화된 문자열을 복호화할 수 있다.

여기에서는 키(열쇠)라는 것이 사용된다. 암호를 복호화하려면 암호화할 때 사용한 키와 같은 키를 사용해야 한다.

 

 

 

crypto.createCipher(알고리즘, 키) : 암호화 알고리즘과 키를 넣어준다. 암호화 알고리즘은 aes-256-cbc를 사용했다. 사용 가능한 알고리즘 목록은 crypto.getCipers()를 하면 볼 수 있다.

• cipher.update(문자열, 인코딩, 출력 인코딩) : 암호화할 대상과 대상의 인코딩, 출력 결과물의 인코딩을 넣어준다. 보통 문자열은 utf8로 이코딩을, 암호는 base64를 많이 사용한다.
• cipher.final(출력 인코딩) : 출력 결과물의 인코딩을 넣어주면 암호화가 완료된다.
• crypto.createDecipher(알고리즘, 키) : 복호화할 때 사용한다. 암호화할 때 사용했던 알고리즘과 키를 그대로 넣어주어야 한다.
• decipher.update(문자열, 이코딩, 출력 인코딩) : 암호화된 문장, 그 문장의 인코딩, 복호화할 인코딩을 넣어준다. createCipher의 update()에서 utf8, base64 순으로 넣었다면, createDecipher의 update()에서는 base64, utf8 순으로 넣으면 된다.
• decipher.final(출력 인코딩) : 복호화 결과물의 인코딩을 넣어준다.

지금까지 배운 메서드 이외에도 crypto 모듈은 양방향 비대칭형 암호화, HMAC 등의 다양한 암호화를 제공하고 있으며 노드 공식 문서(http://nodejs.org/api/crypto.html)에서 확인할 수 있다.

6. util 모듈

각종 편의 기능을 모아둔 모듈이다. 계속해서 API가 추가되고 있고, 가끔 deprecated되어 사라지는 경우도 있다.

 

☑ Note deprecated이란?

deprecated는 프로그래밍 용어로, '중요도가 떨어져 더 이상 사용되지 않고 앞으로는 사라지게 될' 것이라는 뜻이다. 새로운 기능이 나와서 기존 기능보다 더 좋을 때, 기존 기능을 deprecated 처리하곤 한다. 이전 사용자를 위해 기능을 제거하지는 않지만 곧 없앨 예정이므로 더 이상 사요하지 말라는 의미이다.

 

util에서 자주 사용되는 두 메서드 → deprecate, promisify

 

 

 

• util.deprecate() : 함수가 deprecated 처리되었음을 알려준다. 첫 번째 인자로 넣은 함수를 사용했을 때 경고 메시지가 출력된다. 두 번째 인자로 경고 메시지 내용을 넣으면 된다. 함수가 조만간 사라지거나 변경될 때 알려줄 수 있어 유용하다.
• util.promisify() : 콜백 패턴을 프로미스 패턴으로 바꿔준다. 바꿀 함수를 인자로 제공하면 된다. 이렇게 바꾸어두면 async/await 패턴까지 사용할 수 있어 좋다. 프로미스를 콜백으로 바꾸는 util.callbackify도 있지만 자주 사용되지는 않는다.