2023_부트캠프회고/코드스테이츠_DevOps_정리

Chapter5, HTTP

DEVOPS_HANSU 2023. 3. 22. 14:04

Cookie

정리 : 그러므로 서버가 원한다면 서버는 클라이언트에서 쿠키를 이용하여 데이터를 가져올 수 있습니다.
그러므로 쿠키를 이용하는 것은 단순히 서버에서 클라이언트에 쿠키를 전송하는 것만 의미하지 않고 클라이언트에서 서버로 쿠키를 전송하는 것도 포함됩니다.

 

Cookie의 옵션

1. Domain
도메인이라는 것은 흔하게 볼수 수 있는 www.google.com과 같은 서버에 접속할 수 있는 이름입니다.
쿠키 옵션에서 도메인은 포트 및 서브 도메인 정보, 세부 경로를 포함하지 않습니다.
여기서 서브 도메인이란 www 같은 도메인 앞에 추가로 작성되는 부분을 말합니다.
따라서 요청해야 할 URL이 http://www.localhost.com:3000/users/login 이라 하면
여기에서 Domain은 localhost.com이 됩니다.
만약 쿠키 옵션에서 도메인 정보가 존재한다면 클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송할 수 있습니다.

2. Path
세부 경로는 서버가 라우팅할 때 사용하는 경로입니다.
만약 요청해야 하는 URL이 http://www.localhost.com:3000/users/login 인 경우라면 여기에서 Path, 세부 경로는
/users/login이 됩니다.
명시하지 않으면 기본으로 / 으로 설정되어 있습니다.
Path 옵션의 특징은 설정된 path를 전부 만족하는 경우 요청하는 Path가 추가로 더 존재하더라도 쿠키를 서버에 전송할 수 있습니다.
즉 Path가 /users로 설정되어 있고, 요청하는 세부 경로가 /users/login 인 경우라면 쿠키 전송이 가능합니다.
하지만 /user/login으로 전송되는 요청은 Path 옵션을 만족하지 못하기 때문에 서버로 쿠키를 전송할 수 없습니다.

3. MaxAge or Expires
쿠키가 유효한 기간을 정하는 옵션입니다.
MaxAge는 앞으로 몇 초 동안 쿠키가 유효한지 설정하는 옵션입니다.
Expires 은 MaxAge와 비슷합니다. 다만 언제까지 유효한지 Date를 지정합니다.
이때 클라이언트의 시간을 기준으로 합니다.
이후 지정된 시간, 날짜를 초과하게 되면 쿠키는 자동으로 파괴됩니다.
하지만 두 옵션이 모두 지정되지 않는 경우에는 브라우저의 탭을 닫아야만 쿠키가 제거될 수 있습니다.

4. Secure
쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부를 결정합니다.
만약 해당 옵션이 true로 설정된 경우, 'HTTPS' 프로토콜을 이용하여 통신하는 경우에만 쿠키를 전송할 수 있습니다.

5. HttpOnly
자바스크립트에서 브라우저의 쿠키에 접근 여부를 결정합니다.
만약 해당 옵션이 true로 설정된 경우, 자바스크립트에서는 쿠키에 접근이 불가합니다.
명시되지 않는 경우 기본으로 false로 지정되어 있습니다.
만약 이 옵션이 false인 경우 자바스크립트에서 쿠키에 접근이 가능하므로 'XSS' 공격에 취약합니다.

6. SameSite
Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부를 결정하게 됩니다.
사용 가능한 옵션은 다음과 같습니다.
Lax :Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 있습니다.
Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있습니다.
None: 항상 쿠키를 보내줄 수 있습니다. 다만 쿠키 옵션 중 Secure 옵션이 필요합니다.
이때 'same-site'는 요청을 보낸 Origin과 서버의 도메인이 같은 경우를 말합니다.
이러한 옵션들을 지정한 다음 서버에서 클라이언트로 쿠키를 처음 전송하게 된다면 헤더에 Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키를 전송하게 됩니다.
이후 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에 Cookie라는 프로퍼티에 쿠키를 담아 서버에 쿠키를 전송하게 됩니다.

 

 

쿠키를 이용한 상태 유지

이러한 쿠키의 특성을 이용하여 서버는 클라이언트에 인증정보를 담은 쿠키를 전송하고, 클라이언트는 전달받은 쿠키를 요청과 같이 전송하여 Stateless 한 인터넷 연결을 Stateful 하게 유지할 수 있습니다.
하지만 기본적으로는 쿠키는 오랜 시간 동안 유지될 수 있고, 자바스크립트를 이용해서 쿠키에 접근할 수 있기 때문에 쿠키에 민감한 정보를 담는 것은 위험합니다.
이런 인증정보를 탈취하여 서버에 요청을 보낸다면 서버는 누가 요청을 보낸 건지 상관하지 않고 인증된 유저의 요청으로 취급하기 때문에, 개인 유저 정보 같은 민감한 정보에 접근이 가능합니다.

HTTP 주요 헤더

 

 

요청(Request)에서 사용되는 헤더

From: 유저 에이전트의 이메일 정보

  • 일반적으로 잘 사용하지 않음
  • 검색 엔진에서 주로 사용

Referer: 이전 웹 페이지 주소

  • 현재 요청된 페이지의 이전 웹 페이지 주소
  • A → B로 이동하는 경우 B를 요청할 때 Referer: A 를 포함해서 요청
  • Referer 를 사용하면 유입경로 수집 가능
  • referer는 단어 referrer의 오탈자이지만 스펙으로 굳어짐

User-Agent: 유저 에이전트 애플리케이션 정보

  • 클라이언트의 애플리케이션 정보(웹 브라우저 정보, 등등)
  • 통계 정보
  • 어떤 종류의 브라우저에서 장애가 발생하는지 파악 가능
  • ex)
    • user-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/ 537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36

Host: 요청한 호스트 정보(도메인)

  • 필수 헤더
  • 하나의 서버가 여러 도메인을 처리해야 할 때 호스트 정보를 명시하기 위해 사용
  • 하나의 IP 주소에 여러 도메인이 적용되어 있을 때 호스트 정보를 명시하기 위해 사용

Origin: 서버로 POST 요청을 보낼 때, 요청을 시작한 주소를 나타냄

  • 여기서 요청을 보낸 주소와 받는 주소가 다르면 CORS 에러가 발생한다.
  • 응답 헤더의 Access-Control-Allow-Origin와 관련

Authorization: 인증 토큰(e.g. JWT)을 서버로 보낼 때 사용하는 헤더

  • “토큰의 종류(ex. Basic) + 실제 토큰 문자”를 전송
  • ex)
    • Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l

 

 

응답(Response)에서 사용되는 헤더

Server: 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보

  • 응답에서 사용
  • ex)
    • Server: Apache/2.2.22 (Debian)
    • Server: nginx

Date: 메시지가 발생한 날짜와 시간

  • 응답에서 사용
  • ex)
    • Date: Tue, 15 Nov 1994 08:12:31 GMT

Location: 페이지 리디렉션

  • 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 리다이렉트(자동 이동)
  • 201(Created): Location 값은 요청에 의해 생성된 리소스 URI
  • 3xx(Redirection): Location 값은 요청을 자동으로 리디렉션하기 위한 대상 리소스를 가리킴

Allow: 허용 가능한 HTTP 메서드

  • 405(Method Not Allowed)에서 응답에 포함
  • ex)
    • Allow: GET, HEAD, PUT

Retry-After: 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간

  • 503(Service Unavailable): 서비스가 언제까지 불능인지 알려줄 수 있음
  • ex)
    • Retry-After: Fri, 31 Dec 2020 23:59:59 GMT(날짜 표기)
    • Retry-After: 120(초 단위 표기)

 

표현헤더(엔티티 헤더)

정리 : 표현헤더(엔티티 헤더)는 클라이언트와 서버간의 표현 데이터를 해석할 수 있는 정보는 제공

  • Content-type : 표현 데이터의 형식
    • Content-type : text/html;charset=UTF-8
    • Content-type : application/json
    • Content-type : image/png 
  • Content-Encoding : 표현 데이터의 압축 방식
    • Content-Enconding : gzip
    • Content-Enconding : deflate
    • Content-Enconding : identity(압축을 하지 않겠다는 의미)
  • Content-Language : 표현 데이터의 자연 언어
    • Content-Language : ko
    • Content-Language : en
    • Content-Language : en-US
  • Content-Length : 표현 데이터의 길이
    • Content-Length : 8
    • Content-Length : 239
  • Transfer-Encoding : 분할 전송시 사용
  • Content-Range : 특정 범위 전송시 사용
  • Content-Location : 반환될 데이터에 대한 대체 위치를 가리킨다.

 

콘텐츠 협상 헤더

정리 : 클라이언트가 선호하는 표현 요청을 서버에 요청하는 것, 서버는 클라이언트가 요청하는 우선순위에 최대한 맞춰서 표현 데이터를 만들어준다. 이콘텐츠 협상 헤더는 요청시에만 사용이 가능

 

콘텐츠 협상 헤더의 예시

 

[Accept-Language 적용 전]

클라이언트 -> 서버 : Get /event 

서버 -> 클라이언트 : content-Language: en

* 협상 헤더가 없기 때문에 서버가 다중 언어 지원을 하더라도, 서버에 설정된 순서로 표현 데이터를 반환

 

[Accept-Language 적용 후]

클라이언트 -> 서버 : Get /event \n Accept-Language: ko

서버 -> 클라이언트 : content-Language: ko

* 클라이언트가 요청시 콘첸츠 협상 헤더로 한국어를 요청하였기 때문에, 서버에서 기본설정이 영어여도 지원이 된다면 한국어로 표현 데이터를 반환

* 요청한 협상 헤더에 해당하는 콘텐츠가 없는 경우에는 서버는 기본 설정이 되어있는 언어를 반환

 

[Accept-Language 적용 후 - 우선순위 설정]

클라이언트 -> 서버 : Get /event \n Accept-Language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7 (1에 가까울수록 우선순위가 높음)

서버 -> 클라이언트 : content-Language: en-US (요청한 순위는 ko가 0.9로 1순위였지만, 서버에서는 ko를 지원하지 않기에, 다음 우선순위인 en-US를 표현데이터로 반환)

HTTP API (REST API)

 

REST API

정리 : REST API는 웹에서 사용되는 데이터나 자원(리소스)을 HTTP URI로 표현하고, HTTP 프로토콜을 통해 요청과 응답을 하는 방식을 말함

 

좋은 REST API를 디자인 하는 방법

정리 : 성숙도 모델을 활용하여 디자인한다 0~3단계로 나눠져있고, 3단계 까지 지키기 어렵기때문에 2단계까지만 적용해도 좋은 API디자인이라고 볼수 있고, 이 경우에는 HTTP API라고도 부른다.

REST 성숙도 모델 0단계 

웹 매커니즘을 사용하지 않고, HTTP를 원격 호출을 위한 전송시스템으로 사용하는 경우, 리소스 구분없이 설계

 

Request

POST /api/user
{
  "function": "getUser",
  "arguments" [
    "1"
  ]
}


Response

HTTP/1.1 200 OK
{
  "result" {
    "id": "1"
    "name": "honey",
  }
}


CRUD
CREATE : POST /api/user
READ :   POST /api/user
UPDATE : POST /api/user
DELETE : POST /api/user

 

REST 성숙도 모델 1단계 

리소스 개념을 도입하고, 모든 요청을 하나의 End-point로 보내는 것이 아니라, 개별 리소스와 통신함

 

Request

POST /api/users/create
{
  "name": "honey"
}

Response

HTTP/1.1 200 OK
{
  "result" {
    "error": "already exist member"
  }
}

CRUD

CREATE : POST /api/users/create

READ : GET /api/users/1

UPDATE : POST /api/users/update

DELETE : POST /api/users/remove/1

 

REST 성숙도 모델 2단계 

4가지 HTTP 메소드를 사용해 CRUD를 표현하고, StatusCode도 활용하여 반환

 

Request

POST /api/users
{
  "name": "honey"
}

Response

HTTP/1.1 201 Created
Content-Type: application/json
{
  "result" {
    "id": "1",
    "name": "honey"
  }
}

CRUD

CREATE : POST /api/users

READ : GET /api/users/1

UPDATE : PUT /api/users/1

DELETE : DELETE /api/users/1

 

REST 성숙도 모델 3단계 

API 서비스의 모든 End-point를 최초 진입점이 되는 URI를 통해 Hypertext Link 형태로 제

 

Request

GET /api/

Response

HTTP/1.1 200 OK
Content-Type: application/json
{
  "/api/users",
  "/api/users/{userId}/roles",
  "/api/products",
  "/api/..."
}