09.19
항해 99 1일차 시작
조원 분들과
- 프로젝트 기획
- SA작성
- 웹퍼블리싱 완료
- 역할분담완료
- 웹개발plus강의 시청
- 웹 동작 구조
09.20
항해 99 2일차
- 각 페이지 개발 중 - 글 작성 - 글 목록, 글 검색
- 개발 완료 후 깃헙 커밋 완료
- 웹 개발 플러스 강의 완강
09.21
항해 99 3일차
- 취합 후 오류부분 수정 및 업데이트
- 상세페이지 정리
- 파비콘 작업
09.22
항해 99 4일차
- 취합 후 오류부분 수정 및 업데이트 서버 업로드
- 로그인 보안기능, 로그아웃, 로그인 시 화면에 유저 토큰가져오기 수정 중
- JWT정리, API정리 필요..
- CSS 정리
- JAVA 2강 , 3강 시청 -- Java 프로그램의 구조, 주석, 식별자, 키워드, 자료형 // (2강) 어렵지 않음 // 문자열과 형변환 변수의 사용 간단한 입출력 // (3강) 다소 헷갈리는 부분 많음
- TIL 여태까지 있었던 행동들 정리
- 발표시간
09.23
항해 99 5일차
- javascipt 정리 작성
- vscode - node.js 설치
- js 기본 문법 익히기
- 알고리즘 문제 풀기
- 자바 4강 듣기 -- 비트연산자 ?!
09.24
- 요가
- 알고리즘 서로 어떻게 해결했나 !
- 알고리즘 문제 16 - 28번
- 혼공스 해보기
09.25
- 자바 8강까지 완강
- 혼공스 08강 까지 완독
- WIL 정리
내일 할 일
- 혼공스 09강 10강 완독 이해하기
- 알고리즘 29~35이상 풀고 이해하기
- 알고리즘 해결한거 다시 보고 손코딩 한 번 더 해보고 이해하기
JWT정리
JWT ( JSON Web Token )
JWT는 이름에서 알 수 있듯이 Json으로 된 Token을 사용합니다.
즉, OAuth와 같이 Token 기반의 인증 방식이라는 것입니다.
그런데 JWT는 토큰 자체가 의미를 갖는 Claim 기반의 토큰 방식입니다.
Claim( 권한 )은 사용자에 대한 프로퍼티나 속성을 의미합니다.
Token을 생성하고 요청하는 프로세스는 다음과 같습니다.
- JSON 객체에 요구사항을 작성
- 어떠한 암호화 방식을 사용해서 문자열로 인코딩
- HTTP header에 추가함으로써 사용자 인증을 요청
- 서버에서는 Header에 추가된 Token을 디코딩하여 사용자를 인증합니다.
JWT 특징
JWT의 가장 큰 특징은
- 정보가 담긴 데이터( JSON 객체 )를 암호화 하여, HTTP 헤더에 추가 시킨다는 것입니다.
- 권한을 부여하기 위해 필요한 데이터가 JWT안에 모두 담겨있습니다.
그렇다고 JWT가 보안에 완벽한 것은 아닙니다.
누군가가 토큰을 탈취한다면, 그 토큰을 이용하여 권한을 수행할수 있습니다.
그래서 토큰을 서버에 저장하는 것이 아니기 때문에 토큰에 유효시간을 설정해야 하며, 탈취 될 가능성을 줄이기 위해 유효시간을 짧게 해주는 것이 좋습니다.
JWT의 데이터 무결성 - HMAC
JWT는 토큰이 탈취 당하더라도 위변조의 위험을 벗어날 수 있도록 무결성을 보장하는 몇 가지 방법이 있습니다.
그 방법 중 하나는 데이터를 암호화 하고, 해싱하는 HMAC(Hash-based Message Authentication) 기법을 사용하는 것입니다.
해싱은 원문을 일정 길이의 byte로 변환하는데 그 결과가 유일하다는 특징이 있습니다.
즉, 원문이 조금이라도 바뀌면 해싱의 결과는 완전히 달라집니다.
그래서 토큰을 탈취해서 데이터를 수정하게 되면 해싱의 결과가 완전히 달라지므로 토큰이 위조 되었다는 것을 알 수 있게 됩니다.
지금까지 JWT가 도입된 배경과 특징들을 살펴보았는데요, 특징을 정리하면 다음과 같습니다.
- JWT는 그 자체가 암호화된 문자열 데이터입니다.
- 토큰은 HTTP header에 추가되기 때문에 서버에 따로 보관할 필요가 없으므로 서버에 부화를 일으키지 않습니다.
- 토큰을 생성할 때 암호화 과정을 거치므로 보안적으로 안전합니다.
3. JWT 구조 및 생성
이제 JWT가 어떤 구조로 구성되어 있는지 알아보도록 하겠습니다.
JWT 토큰은 위와 같이 구성되어 있습니다.
많은 프로그래밍 언어에서 JWT를 지원하는데, 각 언어의 라이브러리에서 자동으로 인코딩 및 해싱작업을 해줍니다.
단, 헤더, 내용, 서명에 적절한 속성과 값들을 명시할 때 이야기입니다.
위 사진은 JWT 공식홈페이지에서 제공하는 디버거 기능입니다.
이를 기반으로 JWT 구조를 살펴보도록 하겠습니다.
1) 헤더 ( header )
헤더에는 typ와 alg 속성을 명시합니다.
- typ
- alg
2) 내용 ( payload )
내용에는 토큰에 대한 정보를 작성합니다.
정보는 속성, 값으로 표현되며 이를 claim이라 합니다.
claim은 다음과 같이 3가지로 작성할 수 있습니다.
- registered claim
- public claim
- private claim
3) 서명 ( signature )
서명에서는 헤더(header)의 인코딩 값과 내용(payload)의 인코딩 값을 "."으로 연결하여 합친 후 비밀키로 해싱합니다.
일종의 암호화하는 작업이라고 생각하시면 됩니다.
위의 header, payload, signature의 각 값들을 "."으로 합치면 하나의 JWT가 생성됩니다.
이렇게 생성된 JWT를 HTTP header에 추가하여 서버에 요청을 하면 서버에서는 이를 디코딩하여 사용자 인증을 하게 됩니다.
JWT는 자체적으로 정보를 갖고 있는 토큰이기 때문에 서버에 저장될 필요가 없습니다.
즉, 서버로부터 독립적이라 할 수 있으며, 서버의 부담을 덜어줄 수 있다는 장점이 있습니다.
그렇다면 JWT는 어디에 저장하는 것이 좋을까요?
브라우저의 쿠키, local storage, session storage에 저장할 수 있지만, HTTP Only 옵션의 쿠키에 저장하는 것이 좋습니다.
출처:https://victorydntmd.tistory.com/115
API정리
API란 무엇인가요?
API는 정의 및 프로토콜 집합을 사용하여 두 소프트웨어 구성 요소가 서로 통신할 수 있게 하는 메커니즘입니다. 예를 들어, 기상청의 소프트웨어 시스템에는 일일 기상 데이터가 들어 있습니다. 휴대폰의 날씨 앱은 API를 통해 이 시스템과 "대화"하고 휴대폰에 매일 최신 날씨 정보를 표시합니다.
API는 무엇을 의미하나요?
API는 Application Programming Interface(애플리케이션 프로그램 인터페이스)의 줄임말입니다. API의 맥락에서 애플리케이션이라는 단어는 고유한 기능을 가진 모든 소프트웨어를 나타냅니다. 인터페이스는 두 애플리케이션 간의 서비스 계약이라고 할 수 있습니다. 이 계약은 요청과 응답을 사용하여 두 애플리케이션이 서로 통신하는 방법을 정의합니다. API 문서에는 개발자가 이러한 요청과 응답을 구성하는 방법에 대한 정보가 들어 있습니다.
API는 어떻게 작동하나요?
API 아키텍처는 일반적으로 클라이언트와 서버 측면에서 설명됩니다. 요청을 보내는 애플리케이션을 클라이언트라고 하고 응답을 보내는 애플리케이션을 서버라고 합니다. 따라서 날씨 예에서 기상청의 날씨 데이터베이스는 서버이고 모바일 앱은 클라이언트입니다.
API가 생성된 시기와 이유에 따라 API는 네 가지 방식으로 작동할 수 있습니다.
REST API
오늘날 웹에서 볼 수 있는 가장 많이 사용되고 유연한 API입니다. 클라이언트가 서버에 요청을 데이터로 전송합니다. 서버가 이 클라이언트 입력을 사용하여 내부 함수를 시작하고 출력 데이터를 다시 클라이언트에 반환합니다. 아래에서 REST API에 대해 더 자세히 살펴보겠습니다.
REST 의 특징
1) Uniform (유니폼 인터페이스)
Uniform Interface는 URI로 지정한 리소스에 대한 조작을 통일되고 한정적인 인터페이스로 수행하는 아키텍처 스타일을 말합니다.
2) Stateless (무상태성)
REST는 무상태성 성격을 갖습니다.
다시 말해 작업을 위한 상태정보를 따로 저장하고 관리하지 않습니다.
세션 정보나 쿠키정보를 별도로 저장하고 관리하지 않기 때문에 API 서버는 들어오는 요청만을 단순히 처리하면 됩니다. 때문에 서비스의 자유도가 높아지고 서버에서 불필요한 정보를 관리하지 않음으로써 구현이 단순해집니다.
3) Cacheable (캐시 가능)
REST의 가장 큰 특징 중 하나는 HTTP라는 기존 웹표준을 그대로 사용하기 때문에, 웹에서 사용하는 기존 인프라를 그대로 활용이 가능합니다. 따라서 HTTP가 가진 캐싱 기능이 적용 가능합니다. HTTP 프로토콜 표준에서 사용하는 Last-Modified태그나 E-Tag를 이용하면 캐싱 구현이 가능합니다.
4) Self-descriptiveness (자체 표현 구조)
REST의 또 다른 큰 특징 중 하나는 REST API 메시지만 보고도 이를 쉽게 이해 할 수 있는 자체 표현 구조로 되어 있다는 것입니다.
5) Client - Server 구조
REST 서버는 API 제공, 클라이언트는 사용자 인증이나 컨텍스트(세션, 로그인 정보)등을 직접 관리하는 구조로 각각의 역할이 확실히 구분되기 때문에 클라이언트와 서버에서 개발해야 할 내용이 명확해지고 서로간 의존성이 줄어들게 됩니다.
6) 계층형 구조
REST 서버는 다중 계층으로 구성될 수 있으며 보안, 로드 밸런싱, 암호화 계층을 추가해 구조상의 유연성을 둘 수 있고 PROXY, 게이트웨이 같은 네트워크 기반의 중간매체를 사용할 수 있게 합니다.
REST API 디자인 가이드
REST API 설계 시 가장 중요한 항목은 다음의 2가지로 요약할 수 있습니다.
첫 번째, URI는 정보의 자원을 표현해야 한다.
두 번째, 자원에 대한 행위는 HTTP Method(GET, POST, PUT, DELETE)로 표현한다.
REST API 중심 규칙
1) URI는 정보의 자원을 표현해야 한다. (리소스명은 동사보다는 명사를 사용)
| GET /members/delete/1 *헤더 라인을 표현한 겁니다. |
위와 같은 방식은 REST를 제대로 적용하지 않은 URI입니다.
URI는 자원을 표현하는데 중점을 두어야 합니다. delete와 같은 행위에 대한 표현이 들어가서는 안됩니다.
2) 자원에 대한 행위는 HTTP Method(GET, POST, PUT, DELETE 등)로 표현
위의 잘못 된 URI를 HTTP Method를 통해 수정해 보면
| DELETE /members/1 |
으로 수정할 수 있겠습니다.
회원정보를 가져올 때는 GET,
회원 추가 시의 행위를 표현하고자 할 때는 POST METHOD를 사용하여 표현합니다.
회원정보를 가져오는 URI
| GET /members/show/1 (x) *show는 행위입니다. 보겠다는 의도는 알겠지만 권장하지 않습니다. GET /members/1 (o) |
회원을 추가할 때
| GET /members/insert/2 (x) *GET 메서드는 리소스 생성에 맞지 않습니다. POST /members/2 (o) |
[참고] HTTP METHOD
POST, GET, PUT, DELETE 이 4가지의 Method를 가지고 CRUD를 할 수 있습니다.
| METHOD | 역할 |
| POST | POST를 통해 해당 URI를 요청하면 리소스를 생성합니다. |
| GET | GET를 통해 해당 리소스를 조회합니다. 리소스를 조회하고 해당 도큐먼트에 대한 자세한 정보를 가져온다. |
| PUT | PUT를 통해 해당 리소스를 수정합니다. |
| DELETE | DELETE를 통해 리소스를 삭제합니다. |
다음과 같은 식으로 URI는 자원을 표현하는 데에 집중하고,
행위에 대한 정의는 HTTP METHOD를 통해 하는 것이 REST한 API를 설계하는 중심 규칙입니다.
URI 설계 시 주의할 점
1) 슬래시 구분자(/)는 계층 관계를 나타내는 데 사용
| http://restapi.example.com/houses/apartments http://restapi.example.com/animals/mammals/whales |
2) URI 마지막 문자로 슬래시(/)를 포함하지 않는다.
URI에 포함되는 모든 글자는 리소스의 유일한 식별자로 사용되어야 하며 URI가 다르다는 것은 리소스가 다르다는 것이고, 역으로 리소스가 다르면 URI도 달라져야 합니다.
REST API는 분명한 URI를 만들어 통신을 해야 하기 때문에 혼동을 주지 않도록 URI 경로의 마지막에는 슬래시(/)를 사용하지 않습니다.
| http://restapi.example.com/houses/apartments/ (X) http://restapi.example.com/houses/apartments (0) |
3) 하이픈(-)은 URI 가독성을 높이는데 사용
URI를 쉽게 읽고 해석하기 위해, 불가피하게 긴 URI경로를 사용하게 된다면 하이픈을 사용해 가독성을 높일 수 있습니다.
4) 밑줄(_)은 URI에 사용하지 않는다.
글꼴에 따라 다르긴 하지만 밑줄은 보기 어렵거나 밑줄 때문에 문자가 가려지기도 합니다. 이런 문제를 피하기 위해 밑줄 대신 하이픈(-)을 사용하는 것이 좋습니다. (가독성)
5) URI 경로에는 소문자가 적합하다.
URI 경로에 대문자 사용은 피하도록 해야 합니다. 대소문자에 따라 다른 리소스로 인식하게 되기 때문입니다. RFC 3986(URI 문법 형식)은 URI 스키마와 호스트를 제외하고는 대소문자를 구별하도록 규정하기 때문이지요.
| RFC 3986 is the URI (Unified Resource Identifier) Syntax document |
6) 파일 확장자는 URI에 포함시키지 않는다.
| http://restapi.example.com/members/soccer/345/photo.jpg (X) |
REST API에서는 메시지 바디 내용의 포맷을 나타내기 위한 파일 확장자를 URI 안에 포함시키지 않습니다.
Accept header를 사용하도록 합시다.
| GET / members/soccer/345/photo HTTP/1.1 Host: restapi.example.com Accept: image/jpg |
리소스 간의 관계를 표현하는 방법
REST 리소스 간에는 연관 관계가 있을 수 있고, 이런 경우 다음과 같은 표현방법으로 사용합니다.
| /리소스명/리소스 ID/관계가 있는 다른 리소스명 ex) GET : /users/{userid}/devices (일반적으로 소유 ‘has’의 관계를 표현할 때) |
만약에 관계명이 복잡하다면 이를 서브 리소스에 명시적으로 표현하는 방법이 있습니다.
예를 들어 사용자가 ‘좋아하는’ 디바이스 목록을 표현해야 할 경우 다음과 같은 형태로 사용될 수 있습니다.
| GET : /users/{userid}/likes/devices (관계명이 애매하거나 구체적 표현이 필요할 때) |
자원을 표현하는 Colllection과 Document
Collection과 Document에 대해 알면 URI 설계가 한 층 더 쉬워집니다.
DOCUMENT는 단순히 문서로 이해해도 되고, 한 객체라고 이해하셔도 될 것 같습니다.
Collection은 문서들의 집합, 객체들의 집합이라고 생각하시면 이해하시는데 좀더 편하실 것 같습니다.
컬렉션과 도큐먼트는 모두 리소스라고 표현할 수 있으며 URI에 표현됩니다. 예를 살펴보도록 하겠습니다.
| http:// restapi.example.com/sports/soccer |
위 URI를 보시면 sports라는 컬렉션과 soccer라는 도큐먼트로 표현되고 있다고 생각하면 됩니다.
좀 더 예를 들어보자면
| http:// restapi.example.com/sports/soccer/players/13 |
sports, players 컬렉션과 soccer, 13(13번인 선수)를 의미하는 도큐먼트로 URI가 이루어지게 됩니다. 여기서 중요한 점은 컬렉션은 복수로 사용하고 있다는 점입니다.
좀 더 직관적인 REST API를 위해서는 컬렉션과 도큐먼트를 사용할 때 단수 복수도 지켜준다면 좀 더 이해하기 쉬운 URI를 설계할 수 있습니다.
API란 무엇인가요? - API 초보자를 위한 가이드 - AWS
aws.amazon.com
출처-
[WEB] 🌐 REST API 구성/특징 총 정리
REST API의 탄생 REST는 Representational State Transfer라는 용어의 약자로서 2000년도에 로이 필딩 (Roy Fielding)의 박사학위 논문에서 최초로 소개되었습니다. 로이 필딩은 HTTP의 주요 저자 중 한 사람으로..
inpa.tistory.com
'생각 > TIL,WIL' 카테고리의 다른 글
| [TIL]2022.09.27 (0) | 2022.09.28 |
|---|---|
| [TIL]2022.09.26 (0) | 2022.09.27 |
| [TIL]2022.09.24 (0) | 2022.09.24 |
| [TIL]2022.09.23 (0) | 2022.09.23 |
| [TIL 특강 정리] (4) | 2022.09.22 |