[CS스터디] State 인증,인가 RESTful..

by VICENTE97P4

May 21, 2022, 2:30 p.m.

Stateful

server side에 client와 server의 동작, 상태정보를 저장하는 형태입니다. 세션 상태(state)에 기반하여 client에 보내는 server의 응답(response)이 달라집니다.

예시로는 TCP 통신을 들 수 있습니다.

TCP의 server와 client는 

1. establishing connection 2. Transmitting data 3. Terminating connection

이러한 TCP 통신 과정을 통해 데이터를 주고받으며, server가 client의 세션 정보를 저장합니다.

좀 더 자세히 들여다보면

server와 client는 3-way handshaking 과정에서 SYN과 SYN-ACK을 주고 받으며, 양단간 세션 상태(state)를 established한 상태로 만듭니다.

세션 상태가 established 되면 client와 server는 데이터를 주고받을 수 있습니다.

이렇게 TCP는 세션 상태에 따라 server의 응답이 달라지는 stateful protocol입니다.

stateful service는 

1. 세션 정보를 server에 저장 2. 세션 state에 따른 응답

을 만족하도록 설계된 서비스 구조입니다.

stateless

server side에 client와 server의 동작, 상태정보를 저장하지 않는 형태입니다. server의 응답이 client와의 세션 상태와 독립적이죠.

장점 : 서버가 client 정보를 관리하지 않으므로 Scaling이 자유롭습니다.

예시로는 UDP/HTTP가 있습니다.

UDP는 TCP와 달리 client의 세션 상태와 관계 없이 요청에 대한 응답만을 수행하고, server가 client의 정보를 저장하지 않습니다.

stateless service는 

1. 세션 정보를 server에 저장핮 않음 2. 세션 state에 무관한 response

를 만족하는 서비스 구조입니다.

컨테이너와 상태(state)

클라우드 컴퓨팅과 마이크로서비스의 인기가 높아지면서, stateful이든 stateless든 상관없이 애플리케이션의 컨테이너화도 인기가 높아지고 있습니다.

컨테이너는 라이브러리 및 종속성과 함께 패키징되는 애플리케이션의 코드 유닛입니다. 따라서 손쉽게 이동할 있으며, desktop, 기존 IT 인프라, 클라우드를 비롯한 어떤 환경에서든 실행 가능합니다. 즉, portability가 좋습니다.

원래 컨테이너는 이식성이 높고 유연하다는 특성으로 인해 stateless로 구축되었으나, 컨테이너의 사용이 확산됨에 따라 사용자들이 기존 stateful 애플리케이션을 컨테이너화(컨테이너에서 실행하기 위해 재설계 및 재패키징 하는 것입니다.)하기 시작했습니다. stateful 상태의 저장 방식과 컨텍스트를 유지하면서도, 컨테이너의 유연성과 빠른 속도를 활용할 수 있었기 때문입니다.

정보를 일시적으로 신속하게 사용해야 하는 경우에는 stateless, 한 세션에서 다음 세션으로 넘어갈 때 오버헤드가 큰 경우(애플리케이션에서 많은 메모리를 요구하는 경우 등)에는 stateful을 선택합니다.

stateless 구조의 가장 큰 장점은 바로 Scaling입니다.

- stateful 서비스의 경우

client의 세션 정보가 새로 scale out 된 server #2에 저장되어있지 않습니다.

그래서 세션 정보를 옮겨줘야 하는 오버헤드가 발생합니다.

- stateless 서비스의 경우

위 그림처럼 server는 client의 세션 관리를 하지 않으므로 세션을 복사하는 오버헤드가 없습니다.

따라서 scaling에 더 강합니다.

최근 웹 서비스들이 요구하는 중요한 기능 중 하나는 scaling입니다.

그래서 stateless 서비스 구조가 각광받고 있다고 합니다.

추가적으로 stateless한 protocol에는 HTTP가, stateless한 설계 구조에는 REST가 있습니다.

인증 & 인가(Authentication & Authorization)

인증과 인가는 API에서 가장 자주 구현되는 기능 중 하나입니다.

인증(Authentication)

- 유저의 identification을 확인하는 절차, 쉽게 말해 유저의 ID와 Password를 확인하는 절차

- 인증을 하기 위해선 먼저 유저의 ID와 Password를 생성할 수 있는 기능이 필요합니다.

로그인

1. 유저 ID와 Password 생성

2. 유저 Password 암호화 후 DB에 저장

3. 유저가 입력한 Password 암호화 후 암호화 돼서 DB에 저장된 유저 Password와 일치여부 비교

4. 일치하면 로그인 성공

5. 로그인 성공 후 access token을 클라이언트에게 전송

6. 로그인 성공 후에는 request에 access token을 첨부해서 서버에 전송함으로써 매번 로그인할 필요가 없도록 한다.

위에서 access token이라고 했는데, Token 방식이면 access token 을 보내고, session based 방식이면 session ID가 적힌 쿠키를 클라이언트에게 대신 전달합니다.

* cookie

웹사이트 접속시 접속자의 개인장치에 다운로드 되고, 브라우저에 저장되는 작은 텍스트 파일입니다. 쿠키에는 방문 기록, session ID 등 웹 연결에 관한 정보들이 저장됩니다. 웹사이트는 쿠키를 통해 접속자의 장치를 인식하고, 접속자의 설정과 과거 이용내역에 대한 일부 데이터를 저장합니다.

자주 방문한 사이트에 ID와 PW가 자동입력되어 있다거나, 팝업창에서 오늘 다시 보지 않기를 클릭하는 것 등이 쿠키를 활용한 사례입니다.

* 유저 password 암호화

만약을 위해 유저의 비밀번호는 암호화 해서 DB에 저장해야 합니다.

암호화에는 단방향 해시 함수(one-way hash function)가 일반적으로 쓰입니다.

단방향 해시 함수는 원본 메시지를 변환하여 암호화된 메시지인 다이제스트(digest)를 생성합니다. 원본 메시지를 알면 암호화된 메시지를 구할 수 있지만, 암호화된 메시지로는 원본 메시지를 구할 수 없어서 단방향성(one-way) 이라고 합니다.

단방향 해시 함수에는 취약점이 있습니다.

1. Rainbow table attack

- 미리 해시 값들을 계산해 놓은 테이블을 Rainbow table이라고 합니다.

2. 임의의 문자열을 그냥 대입하여 해킹할 대상의 다이제스트와 비교하여 찾아낼 수 있습니다.

보완

1. Salting

실제 비밀번호 이외에 추가적으로 랜덤 데이터를 더해서 해쉬 값을 계한하는 방법

2. Key Stretching

단방향 해시 값을 계산한 후 그 결과 값에 또 해시를 여러번 적용하는 방법

JWT(JSON Web Token)

access token 중 가장 널리 사용되는 기술입니다.

JWT는 유저 정보를 담은 JSON 데이터를 암호화 해서 클라이언트와 서버 간에 주고 받는 것입니다.

1. 로그인

2. 인증 성공시 JWT 부여(JWT는 클라이언트의 로컬에 저장) 

3. client가 요청 보낼 때 JWT도 같이 보냄

4. 서버에서 JWT로 유저임을 확인함

구조

1) 헤더

typ: 토큰의 타입을 지정합니다. 바로 JWT를 말합니다.

alg: signature 해싱 알고리즘을 지정합니다. 통상 HMAC-SHA256, 또는 RSA가 사용된다고 합니다.

2) Payload

토큰에 담을 정보가 들어있습니다.

여기에 담는 정보의 한 조각을 클레임(Claim)이라 하고 이는 Json(Key/Value) 형태의 한 쌍으로 이루어져있습니다.

토큰에는 여러개의 클레임들을 넣을 수 있습니다.

3) 서명(Signature)

인코딩이나 유효성 검증 때 사용하는 고유한 암호화 코드입니다.

Header와 Payload 값을 각각 Base64로 인코딩하고, 인코딩한 값을 비밀 키를 이용해 헤더에서 정의한 알고리즘으로 해싱을 하고, 이 값을 다시 Base64로 인코딩하여 생성합니다.

생성된 토큰은 HTTP 통신 시 Authorization이라는 key의 value로 사용됩니다.

{ 
 "Authorization": "Bearer {생성된 토큰 값}",
}

이렇게요.

알아둘 것은 header와 payload는 인코딩 된 것이지 암호화된 것이 아닙니다.

그래서 토큰을 탈취당했을 때 정보가 유출될 수 있어서 토큰에는 중요한 내용을 넣으면 안됩니다.

장단점과 Refresh token에 관한 이야기는 session 쪽 다룰 분에게 넘기겠습니다.

(혹시 제가 해야할 수도 있으니 준비는 해가겠습니다.)

인가(Authorization)

- 유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인가를 확인하는 절차

- Authorization 또한 JWT를 통해 구현될 수 있습니다.

절차

1. Authentication 절차를 통해 유저 정보를 확인할 수 있는 정보가 담긴 access token을 생성

2. 유저가 request를 보낼 때 access token을 첨부해서 보냅니다.

3. 서버에서 유저가 보낸 access token을 복호화 합니다.

- 유저가 충분한 권한이 있을 경우 해당 요청 처리

- 유저가 권한이 없다면 Unauthorized Response(401) 혹은 다른 에러코드를 보냅니다.

REST

REST란

Representational State Transfer의 약자

자원을 이름(자원의 표현)으로 구분하여 해당 자원의 상태(정보)를 주고 받는 것을 의미합니다.

a. 자원의 표현(resource representation)

자원: 해당 소프트웨어가 관리하는 모든 것

EX) 문서, 그림, 데이터, 해당 소프트웨어 자체 등

자원의 표현: 그 자원을 표현하기 위한 이름

EX) DB에서 학생 정보가 자원일 때, students를 자원의 표현으로 하는 경우

b. 상태(정보) 전달

데이터가 요청되어지는 시점에서 자원의 상태를 전달합니다.

JSON 또는 XML을 통해 데이터를 주고 받는 것이 일반적입니다.

REST는 기본적으로 웹의 기존 기술과 HTTP 프로토콜을 그대로 활용하기 때문에 웹의 장점을 최대한 활용할 수 있는 아키텍처 스타일입니다.

REST는 HTTP URI(Uniform Resource Identifier)를 통해 자원(Resource)을 명시하고, HTTP Method(GET, POST, PUT, DELETE)를 통해 해당 자원에 대한 CRUD Operation을 적용합니다.

즉, HTTP Method를 통해 Resource를 처리하도록 설계된 자원 기반 구조 아키텍처입니다.

웹 사이트의 이미지, 텍스트, DB 내용 등 모든 자원에 고유한 ID인 HTTP URI를 부여합니다.

장점

- HTTP 프로토콜의 인프라를 그대로 사용하므로 REST API 사용을 위한 별도의 인프라를 구축할 필요가 없습니다.

- REST API 메시지가 의도하는 바를 명확하게 나타내므로 의도하는 바를 쉽게 파악할 수 있습니다.

- 서버와 클라이언트의 역할을 명확하게 분리합니다.

- 웹 브라우저, 모바일 디바이스 등에서도 통신할 수 있습니다. 즉, 멀티 플랫폼에 대한 지원에 유리합니다.

단점

- 표준이 존재하지 않습니다.

- 사용할 수 있는 메소드가 4가지밖에 없습니다.(HTTP Method 형태가 제한적입니다.)

REST 구성 요소

1. 자원 URI

- 모든 자원에 고유한 ID가 존재하고, 이 자원은 server에 존재합니다.

- 자원을 구별하는 ID는 '/groups/:group_id' 같은 HTTP URI입니다.

- Client는 URI를 이용해서 자원을 지정하고 해당 자원의 상태(정보)에 대한 요청을 Server에 보냅니다.

2. 행위(Verb): HTTP Method

- HTTP 프로토콜의 Method를 사용합니다.

- HTTP 프로토콜은 GET, POST, PUT, DELETE와 같은 메서드를 제공합니다.

3. 표현(Representation of Resource)

- Client가 자원의 상태(정보)에 대한 요청을 보내면 Server는 이에 적절한 응답을 보냅니다.

- REST에서 하나의 자원은 JSON, XML, TEXT, RSS 등 여러 형태의 Representation으로 나타내어질 수 있습니다.

- JSON 혹은 XML을 통해 데이터를 주고 받는 것이 일반적입니다.

REST의 특징

1. Server-Client(서버-클라이언트 구조)

자원이 있는 쪽이 Server, 자원을 요청하는 쪽이 Client가 됩니다.

- REST Server: API를 제공하고 비즈니스 로직 처리 및 저장을 책임집니다.

- Client: 사용자 인증이나 context(세션, 로그인 정보 등) 등을 관리합니다.

그래서 서로 간 의존성이 줄어듭니다.

2. Stateless

HTTP 프로토콜은 Stateless Protocol이므로 REST 역시 stateless입니다.

Client의 context를 Server에 저장하지 않습니다.

- 즉, 세션과 쿠키와 같은 context 정보를 신경쓰지 않아도 되므로 구현이 단순해집니다.

Server는 각각의 요청을 완전히 별개의 것으로 인식하고 처리합니다.

- 각 API 서버는 Client의 요청만을 단순 처리합니다.

- 즉, 이전 요청이 다음 요청의 처리에 연관되어서는 안됩니다.

(물론 이전 요청이 DB를 수정하여 DB에 의해 바뀌는 것은 허용합니다.)

Server의 처리 방식에 일관성을 부여하고 부담이 줄얻르며, 서비스의 자유도가 높아집니다.

3. Cacheable(캐시 처리 기능)

HTTP 프로토콜을 그대로 사용해서 HTTP가 가진 가장 강력한 특징 중 하나인 캐싱 기능을 적용할 수 있습니다.

- HTTP 프로토콜 표준에서 사용하는 Last-Modified 태그나 E-Tag를 이용하면 캐싱 구현이 가능합니다.

대량의 요청을 효율적으로 처리하기 위해 캐시가 요구됩니다.

- 캐시 사용을 통해 응답시간이 빨라지고 REST Server 트랜잭션이 발생하지 않기 때문에 전체 응답시간, 성능, 서버의 자원 이용률을 향상시킬 수 있습니다.

4. Layered System(계층화)

Client는 REST API Server만 호출합니다.

REST Server는 다중 계층으로 구성될 수 있습니다.

- API Server는 순수 비즈니스 로직을 수행하고, 그 앞단에 보안, 로드밸런싱, 암호화, 사용자 인증 등을 추가하여 구조상의 유연성을 줄 수 있습니다.

- 또한 로드밸런싱, 공유 캐시 등을 통해 확장성과 보안성을 향상시킬 수 있습니다.

Proxy, Gateway 같은 네트워크 기반의 중간 매체를 사용할 수 있습니다.

5. Code-On-Demand(optional)

Sever로부터 스크립트를 받아서 Client에서 실행할 수도 있습니다.

반드시 충족할 필요는 없습니다.

6. Uniform Interface(인터페이스 일관성)

URI로 지정한 Resource에 대한 조작을 통일되고 한정적인 인터페이스로 수행합니다.

HTTP 표준 프로토콜에 따르는 모든 플랫폼에서 사용이 가능합니다.

- 특정 언어나 기술에 종속되지 않습니다.

REST API

API(Application Programming Interface)란

- data와 기능의 집합을 제공하여 컴퓨터 프로그램간 상호작용을 촉진하며, 서로 정보를 교환 가능 하도록 하는 것

REST API란

- REST 기반으로 서비스 API를 구현한 것

REST API 특징

- REST 기반으로 시스템을 분산해 확장성과 재사용성을 높여 유지보수 및 운용을 편리하게 할 수 있습니다.

- REST는 HTTP 표준을 기반으로 구현하므로, HTTP를 지원하는 프로그램 언어로 클라이언트, 서버를 구현할 수 있습니다.

REST API 설계 기본 규칙

- document: 객체 인스천스나 DB record와 유사한 개념
- collection: 서버에서 관리하는 도큐먼트들의 집합,
 클라이언트에서 새로운 리소스를 제안해서 올릴 수 있으나 결정은 서버가 합니다.
- store: 클라이언트에서 관리하는 도큐먼트들의 집합, 관리 주체는 클라이언트입니다.
기존의 리소스를 스토어 추가하거나 삭제 변경할 수는 있지만 새로운 리소스를 생성할 수는 없습니다.
- controller: 컬렉션, 스토어의 메서드의 기능입니다.
 HTTP Method(CRUD)를 제외한 특정한 기능을 요구할 때 사용됩니다.

 http://api.studentmanagement.com/grades/3/notice?title=하계수련회&content=하계수련회 관련 공지입니다

위 예제에서 설명하자면 'grades라는 컬렉션에 3이라는 도큐먼트가 존재하며 notice라는 컨트롤러를 통해 하계수련회라는 내용을 공지했다'는 의미입니다.

기능에 대하여 바로 파악이 가능한 것이 REST API의 장점입니다.

1. URI는 정보의 자원을 표현해야 합니다.

1. resource는 동사보다는 명사, 대문자보다는 소문자를 사용합니다.
2. resource의 도큐먼트 이름으로는 단수 명사를 사용합니다.(team1, team2, 1, 2 ...)
3. resource의 컬렉션, 스토어 이름으로는 복수 명사를 사용합니다.(names, titles, projects ...)
4. 컨트롤러는 동사나 동사구를 사용합니다.(ex: isExist, reindex, register ...)

- EX) GET   / Member/1 -> GET  /members/1

2. 자원에 대한 행위는 HTTP Method(GET, POST, PUT, DELETE)로 표현합니다.

1. URI에 HTTP Method가 들어가면 안됩니다.
EX) GET  /members/delete/1 -> DELETE  /members/1

2. URI 행위에 대한 동사 표현이 들어가면 안됩니다.(CRUD 기능을 나타내는 것은 URI에 사용하지 않습니다.)
EX) GET  /members/insert/2 -> POST  /members/2

3. 경로 중 변하는 부분은 unique한 값으로 대체합니다.
EX) ID=12인 student를 삭제하는 route: DELETE  /students/12

REST API 설계 규칙

1. 슬래시 구분자(/)는 계층 관계를 나타내는데 사용합니다.

- EX) http://restapi.example.com/houses/apartments

2. URI 마지막 문자로 슬래시(/)를 포함하지 않습니다.

- 이는 URI 혼동을 주지 않기 위함입니다.

- EX) http://restapi.example.com/houses/apartments/ (X)

3. 하이픈(-)은 URI 가독성을 높이는데 사용합니다.

- 불가피하게 긴 URI 경로를 사용하게 된다면 하이픈을 사용해 가독성을 높입니다.

- EX) https://vicente-blog.com

4. 언더바(_)는 URI에 사용하지 않습니다.

- 보기 어렵거나 문자가 가려지기도 해서 가독성을 위해 사용하지 않는다고 합니다.

5. URI 경로에는 소문자가 적합합니다.

- 대문자는 가급적 피하도록 합시다

- RFC 3986(URI 문법 형식)은 URI 스키마와 호스트를 제외하고는 대소문자를 구별하도록 규정하기 때문입니다.

6. 파일 확장자는 URI에 포함하지 않습니다.

- REST API에서는 Accept header를 사용합니다.

EX) http://restapi.example.com/members/soccer/345/photo.jpg (X)

EX) GET  /  members/soccer/345/photo  HTTP/1.1 Host: restapi.example.com Accept:  image/jpg (0)

* Accept header

클라이언트가 웹서버로 요청할 때 보내는 것으로, 클라이언트가 수용할 수 있는 메시지 형태를 정의해놓은 것입니다.

즉, 내가 이런 종류의 메시지를 확인할 수 있어요 하는 것을 웹서버에게 알려주는 것입니다.

위 그림에서는 Accept header에 image/webp, image/apng/ image/*, */*, q=0.8이라는 정보가 있습니다.

(q=0.8은 최고로 선호하는 품질이 0.8이라는 의미입니다. 품질은 0~1 사이 값으로 나타내고, q=1인 경우에는 생략됩니다.)

7. 리소스 간에 연관 관계가 있는 경우

- /리소스명/리소스 ID/관계가 있는 다른 리소스명

- EX) GET  :  /users/{userID}/devices

일반적으로 소유(has) 관계를 표현할 때 위처럼 쓴다고 합니다.

REST API 설계 예시

 유의점

1) URI에서 변할 수 있는 부분은 유니크한 값이어야 합니다.

ex) 같은 학교에서 1학년 3반 7번인 사람은 2명일 수 없습니다.

2) 컨트롤러를 남용하는 것은 비추입니다. method를 이용해 충분히 처리가 가능하면 파라미터나 컨트롤러를 사용하지 맙시다.

RESTful

RESTful은 일반적으로 REST라는 아키텍처를 구현하는 웹 서비스를 나타내기 위해 사용되는 용어입니다.

- REST API를 제공하는 웹 서비스를 RESTful하다고 할 수 있습니다.

- 그냥 REST 원리를 따르는 시스템을 RESTful이라는 용어로 지칭합니다.

RESTful의 목적

이해하기 쉽고 사용하기 쉬운 REST API를 만드는 것

RESTful한 API를 구현하는 근본적인 목적은 성능향상이 아닌 일관적인 컨벤션을 통한 API의 이해도 및 호환성을 높이는 것입니다.

성능이 중요한 상황에서는 굳이 RESTful API를 구현할 필요는 없습니다.

RESTful하지 못한 경우

- EX) CRUD 기능을 모두 POST로만 처리하는 API

- EX) route에 resource, id 외 정보가 들어가는 경우(/students/updateName)