[고가용성 게임서버 구축 방법] 고가용성 게임서버 구축 4

파이썬을 이용한 세션 관리와 사용자 인증 서버는 웹 애플리케이션의 중요한 부분으로, 특히 게임 서버에서 사용자 정보를 유지하고 보안을 강화하는 데 중요한 역할을 합니다. 이 두 요소는 사용자 상태를 추적하고, 인증된 사용자만이 서버의 리소스에 접근할 수 있도록 도와줍니다. 다음은 세션 관리와 사용자 인증을 구현하는 방법, 특징 및 예제 코드입니다.

---

1. 세션 관리 개요

세션 관리는 서버가 각 사용자별로 상태를 유지하는 방법입니다. HTTP는 기본적으로 상태를 유지하지 않는 프로토콜이므로, 클라이언트와 서버 간의 요청이 매번 독립적으로 처리됩니다. 세션 관리를 통해 서버는 사용자의 로그인 상태, 장바구니, 게임 진행 상황 등의 정보를 추적할 수 있습니다.

• 세션 ID: 서버는 각 사용자에게 고유한 세션 ID를 부여하고, 이 세션 ID를 클라이언트 측 쿠키로 저장하거나 URL 파라미터를 통해 전달합니다.
• 서버 저장소: 서버는 세션 ID와 매핑된 데이터를 메모리, 파일, 데이터베이스, Redis와 같은 외부 저장소에 저장합니다.

---

2. 사용자 인증 개요

사용자 인증은 사용자 식별을 위해 로그인 및 토큰 인증 등의 방식을 사용합니다. 게임 서버에서는 보통 JWT (JSON Web Token) 같은 토큰 기반 인증 방식이 많이 사용됩니다. 사용자가 로그인하면 서버가 인증 토큰을 발급하여, 이후의 모든 요청에 인증 토큰을 포함시켜 사용자 인증을 처리합니다.

---

3. 세션 관리 및 사용자 인증 서버 구현 방법

(1) Flask 프레임워크 기반 세션 관리 및 사용자 인증

Flask는 파이썬에서 널리 사용되는 마이크로 웹 프레임워크로, 간단한 세션 관리와 사용자 인증 시스템을 구현하는 데 유용합니다.

Flask 세션 관리 예제

Flask에서 기본적으로 서버 측 세션 관리를 지원하며, 쿠키를 통해 세션 ID를 관리합니다. 다음은 간단한 세션 관리 예제입니다.

pip install Flask

from flask import Flask, session, redirect, url_for, request

app = Flask(__name__)
app.secret_key = 'supersecretkey'  # 세션 암호화에 사용되는 키

# 세션에 사용자 정보 저장
@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        session['username'] = request.form['username']
        return redirect(url_for('welcome'))
    return '''
        <form method="post">
            <p><input type=text name=username>
            <p><input type=submit value=Login>
        </form>
    '''

# 세션에서 사용자 정보 읽기
@app.route('/welcome')
def welcome():
    if 'username' in session:
        return f"Welcome {session['username']}!"
    return redirect(url_for('login'))

# 로그아웃 시 세션 삭제
@app.route('/logout')
def logout():
    session.pop('username', None)
    return redirect(url_for('login'))

if __name__ == '__main__':
    app.run(debug=True)

• 설명: 이 코드는 사용자가 로그인하면 세션에 username을 저장하고, 이후의 요청에서 이 세션 정보를 바탕으로 사용자 상태를 유지합니다. secret_key는 세션 데이터의 무결성을 보장하기 위해 사용됩니다.
• 세션 저장: Flask는 기본적으로 쿠키 기반 세션을 지원하므로, 세션 데이터는 암호화된 형태로 클라이언트 쿠키에 저장됩니다. 큰 데이터를 저장해야 하거나 더 안전한 세션 관리를 위해 Redis나 데이터베이스와 같은 외부 저장소를 사용할 수도 있습니다.

Redis를 이용한 세션 관리

세션 데이터를 서버 메모리에 저장하는 것보다 더 확장성 있고 안정적인 관리 방법으로 Redis를 사용할 수 있습니다. Flask에서 Redis를 세션 백엔드로 사용하는 방법은 Flask-Session 패키지를 사용합니다.

pip install Flask-Session redis

from flask import Flask, session
from flask_session import Session
import redis

app = Flask(__name__)
app.config['SESSION_TYPE'] = 'redis'
app.config['SESSION_PERMANENT'] = False
app.config['SESSION_USE_SIGNER'] = True
app.config['SESSION_REDIS'] = redis.Redis(host='localhost', port=6379)
Session(app)

@app.route('/')
def index():
    if 'visits' in session:
        session['visits'] = session.get('visits') + 1
    else:
        session['visits'] = 1
    return f"Total visits: {session['visits']}"

if __name__ == "__main__":
    app.run(debug=True)

• 설명: 이 코드는 Flask와 Redis를 이용해 세션을 관리하는 방법을 보여줍니다. 클라이언트가 서버를 재시작하거나 다른 서버로 요청을 보내도, Redis에 세션 데이터를 저장하므로 세션 상태가 유지됩니다.

---

(2) Flask와 JWT를 사용한 사용자 인증

JWT (JSON Web Token)는 클라이언트 측에서 인증 정보를 저장하고 관리할 수 있는 안전하고 효율적인 방법입니다. JWT는 서버가 발급한 후 클라이언트는 이 토큰을 요청마다 보내 서버에서 인증할 수 있습니다.

JWT 기반 사용자 인증 예제

pip install Flask-JWT-Extended

from flask import Flask, jsonify, request
from flask_jwt_extended import JWTManager, create_access_token, jwt_required, get_jwt_identity

app = Flask(__name__)
app.config['JWT_SECRET_KEY'] = 'supersecretkey'
jwt = JWTManager(app)

# 가상의 사용자 데이터베이스
users = {'testuser': 'testpassword'}

@app.route('/login', methods=['POST'])
def login():
    username = request.json.get('username')
    password = request.json.get('password')

    # 사용자 인증
    if users.get(username) == password:
        access_token = create_access_token(identity=username)
        return jsonify(access_token=access_token), 200
    return jsonify({"msg": "Invalid credentials"}), 401

# 인증된 사용자만 접근 가능
@app.route('/protected', methods=['GET'])
@jwt_required()
def protected():
    current_user = get_jwt_identity()
    return jsonify(logged_in_as=current_user), 200

if __name__ == '__main__':
    app.run(debug=True)

• 설명:
  • login 엔드포인트에서 클라이언트가 로그인하면, 서버는 JWT를 생성하고 클라이언트에게 반환합니다.
  • @jwt_required() 데코레이터를 사용하여 인증된 사용자만 특정 엔드포인트에 접근할 수 있도록 제한할 수 있습니다.
  • JWT는 기본적으로 클라이언트 측에서 저장되며, 서버는 상태를 저장하지 않아도 되기 때문에 확장성이 높습니다.

JWT 동작 과정:

1. 클라이언트가 /login 엔드포인트로 로그인 요청을 보냅니다.
2. 서버는 인증에 성공하면 access_token을 클라이언트에게 반환합니다.
3. 클라이언트는 이후 요청 시 이 토큰을 Authorization 헤더에 포함시켜 서버에 보냅니다.
4. 서버는 토큰을 검증하여 사용자 인증을 처리합니다.

---

4. 세션 관리 및 사용자 인증 시 고려할 사항

• 보안: 세션이나 JWT를 사용해 사용자 인증을 할 때는 반드시 HTTPS를 사용하여 데이터 전송 시 암호화가 이루어져야 합니다. JWT의 경우, 서명을 검증해 무결성을 확인해야 하며, 만료 시간을 설정하여 토큰 유효성을 관리해야 합니다.
• 세션 만료: 세션이나 JWT의 만료 시간을 적절히 설정하여 보안 위험을 줄여야 합니다. 예를 들어, 세션은 일정 시간이 지나면 자동으로 삭제되도록 설정할 수 있습니다.
• 확장성: 세션 데이터를 서버에서 관리할 경우, 여러 서버 간에 세션 정보를 공유하는 문제가 발생할 수 있습니다. 이를 해결하기 위해 Redis와 같은 외부 스토리지를 사용하여 세션을 관리하는 것이 좋습니다.

이와 같은 세션 관리와 인증 방식은 게임 서버에서 사용자 로그인, 게임 상태 저장, 인증된 사용자만 접근할 수 있는 자원 관리를 효과적으로 처리할 수 있습니다.