꼽행착오

HTTP

HTTP (Hyper Text Transfer Protocol) 이란, 인터넷에서 데이터를 주고받을 수 있는 프로토콜이다. 프로토콜은 일종의 규약으로, 이 규약이 정의되었기 때문에 인터넷 상에서 프로그램들이 규약에 맞게 서로 정보를 공유할 수 있도록 한다.

HTTP 의 구조

HTTP 는 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 동작한다. HTTP 는 상태를 가지지 않는 Stateless 프로토콜이며 Method, Path, Version, Headers, Body 등으로 구성된다.

HTTP 동작

클라이언트, 즉 사용자가 브라우저를 통해 어떠한 서비스를 URL 을 통해 요청 (Request) 을 하면, 서버에서는 해당 요청사항에 맞는 결과를 찾아 사용자에게 응답 (Response) 하는 형태로 동작한다.

HTML 문서만이 HTTP 통신에서 사용되는 유일한 정보 문서가 아니고, Plain Text, Json, XML 과 같은 형태의 정보도 주고받을 수 있다. 보통은 클라이언트 측에서 어떤 형태의 데이터를 요청할 것인지 헤더에 명시하는 경우가 많다.

HTTP 특징

• HTTP 메시지는 HTTP 서버와 클라이언트에 의해 해석된다.
• TCP/IP 를 이용하는 응용 프로토콜이다.
  (컴퓨터와 컴퓨터 간의 데이터 전송을 가능케 하는 장치로, 인터넷이라는 거대한 통신망을 통해 원하는 정보를 주고받는 기능을 이용하는 응용 프로토콜)
• 연결 상태를 유지하지 않는 비연결성 프로토콜이다.
  (이로 인한 단점을 보완하기 위해 Cookie 와 Session 이라는 개념이 등장했다.)
• 연결을 유지하지 않는 프로토콜이기 때문에, 요청 - 응답의 방식으로 동작한다.

HTTP 는 암호화되지 않은 평문 데이터를 전송하는 프로토콜이기 때문에, HTTP 로 개인정보 등을 주고 받으면 패킷을 수집하는 것만으로 제 3자가 정보를 조회할 수 있다. 이러한 문제를 해결하기 위해 등장한 것이 HTTPS (Hyper Text Transfer Protocol Secure) 이다.

HTTPS

Hyper Text Transfer Protocol over Secure Socket Layer, HTTP over TLS, HTTP over SSL, HTTP Secure 등으로 불리는 HTTPS 는 HTTP 에 데이터 암호화가 추가된 프로토콜이다. 기본 골격이나 사용 목적 등은 HTTP 와 거의 동일하지만, 데이터를 주고받는 과정에 '보안' 요소가 추가되었다는 것이 가장 큰 차이점이다. HTTPS 를 사용하면 서버-클라이언트 간의 모든 통신 내용이 암호화된다.

특정 파일에 암호를 걸 때처럼 어떤 키를 이용해 잠금을 걸고, 그 키를 이용해 암호를 푸는 것을 생각해보자. 서버-클라이언트 간 통신도 간단하게 생각하면 서버가 하나의 키를 정해 암호화된 페이지를 사용자의 웹 브라우저로 전달하고, 웹 브라우저는 그 키를 이용해 페이지를 복호화하면 될 것이다. 하지만 일반적으로 서버-클라이언트 관계는 일대다 관계를 이루고, 클라이언트는 불특정 다수로 이루어지기 때문에 이처럼 간단한 암호화는 간단치 않다. 그렇다고 키를 단순히 사용자들에게 제공하면 아무나 복호화를 할 수 있기 때문에 암호화의 의미가 사라지게 된다.

HTTPS 는 위와 같은 상황에서 페이지를 암호화한 키가 그 페이지를 요청한 특정 사용자에게만 제공되도록 한다. HTTPS 는 SSL 이나 TLS 프로토콜을 통해 세션 데이터를 암호화하고, SSL 프로토콜 위에서 HTTPS 프로토콜이 동작한다.

암호화 방식

HTTPS 는 공개키 암호화 방식과 공개키의 단점을 보완한 대칭키 암호화 방식을 함께 사용한다. 공개키 방식으로 대칭키를 전달하고, 서로 공유된 대칭키를 사용해 통신하게 된다.

공개키 방식

• A 키로 암호화를 하면 B 키로 복호화를 할 수 있다.
• B 키로 암호화를 하면 A 키로 복호화를 할 수 있다.
• 둘 중 하나를 비공개키 (Private Key) 또는 개인키라 부르며, 이는 자신만 가지고 공개되지 않는다.
• 나머지 하나를 공개키 (Public Key) 라 부르며 다른 사람에게 제공한다. 공개키는 유출되어도 비공개키를 모르면 복호화를 할 수 없기 때문에 안전하다.

공개키 암호화 방식은 다음의 그림을 보면 쉽게 이해할 수 있다.

대칭키 방식

• 동일한 키로 암호화, 복호화를 할 수 있다.
• 대칭키는 매번 랜덤으로 생성되어, 키가 유출되어도 다음 사용 시는 다른 키가 사용되기 때문에 안전하다.
• 공개키보다 빠른 통신이 가능하다.

이러한 SSL 방식의 적용을 위해 인증서를 발급받아 서버에 적용해야 한다. 인증서는 사용자가 접속한 서버가 우리가 의도한 서버가 맞는 지를 보장하는 역할을 한다. 인증서를 발급하는 기관을 CA(Certificate Authority) 라 부른다. 공인인증 기관의 경우 웹 브라우저가 미리 CA 리스트와 함께 각 CA 의 공개키를 알고 있다.

동작 과정

보안적인 부분에 대해서는 자세히 다루지 않고, 인증서 발급부터 사이트가 어떤 방식으로 사용자와 안전하게 통신하는 지를 확인해보자.

※ 아래 그림 및 설명에서, 서버 = 사이트, 클라이언트 = 사용자 로 표현한다.

1. 사이트는 공개키와 개인키를 생성하고, 신뢰할 수 있는 인증 기관 (CA) 에 자신의 정보와 공개키를 관리해 달라는 계약을 한다.
2. 계약을 완료한 인증 기관은 기관만의 공개키와 개인키가 있다. 인증 기관은 사이트가 제출한 데이터를 검증하고, 인증 기관의 개인키로 이를 암호화한다.
3. 인증 기관은 인증 기관의 개인키로 암호화된 인증서를 사이트에 발급한다.
4. 인증 기관은 웹 브라우저에게 자신의 공개키를 제공한다.

1. 사용자가 사이트에 접속하면 서버는 자신의 인증서를 웹 브라우저에 보낸다.
   예를 들어, 웹 브라우저가 index.html 파일을 요청하면 서버의 정보를 인증 기관의 개인키로 암호화한 인증서를 받게 되는 것이다.
2. 웹 브라우저는 ③ 에서 미리 알고 있었던 인증기관의 공개키로 인증서를 해독해 검증한다. 그러면 사이트의 정보와 서버의 공개키를 알 수 있게 된다.
   이 부분은 보안상의 의미를 갖지는 않고, 단지 해당 서버로부터 온 응답임을 확인할 수 있게 된다.
3. 대칭키를 생성하고, 2. 에서 얻은 서버의 공개키로 대칭키를 암호화해 사이트에 보낸다.
4. 사이트는 개인키로 암호문을 해독해 대칭키를 얻게 되고, 이제 대칭키를 사용해 데이터를 주고받을 수 있게 된다.

HTTPS 의 장단점

• HTTPS 는 웹사이트와 사용자 브라우저 사이의 통신을 침입자가 건드리지 못하도록 함으로써 웹사이트의 무결성을 보장해 준다.
  (침입자라 함은, 악의가 있는 공격자는 물론이고 합법이지만 통신에 침입해 페이지에 광고를 삽입하는 경우도 포함한다.)
• 가벼운 웹 서핑이라면 HTTP 도 상관없지만, 사용자의 정보를 웹 서버와 주고받아야 하는 경우 HTTP 는 정보 유출의 위험성을 갖는다. HTTPS 는 웹사이트와 사용자 간의 통신을 몰래 수신하는 것을 방지함으로써 보안을 강화한다.
• getUserMedia() 를 통한 사진 촬영이나 오디오 녹음, 프로그레시브 웹 앱과 같은 강력한 웹 플랫폼 신기능들은 실행하기 위해 사용자의 명시적인 권한 확인을 필요로 한다. Geolocation API 와 같은 오래된 API 들도 실행 시 권한 확인이 필요하도록 업데이트되고 있는데, HTTPS 는 이러한 권한 허락을 가능케 한다.
• 네이버, 다음은 물론이고 구글 역시 검색 엔진 최적화 (SEO ; Search Engine Optimization) 관련 내용을 HTTPS 웹사이트에 적용하고 있다. 즉, 키워드 검색 시 상위에 노출되는 기준 중 하나가 보안 요소이다.
• 모든 사이트에서 텍스트를 암호화해 주고받으면 과부하가 걸려 속도가 느려질 수 있다. (현재는 기술의 발달로 HTTPS 와 HTTP 간 속도 차이가 미미하다고 한다.)
• HTTPS 를 지원한다 해서 무조건 안전한 것은 아니다. 신뢰할 수 있는 인증 기관이 아니라 자체적으로 인증서를 발급할 수도 있고, 신뢰할 수 없는 인증 기관을 통해 인증서를 발급받을 수도 있기 때문이다.

# Reference.

REST 에 대해 공부를 하다가, RESTful API 란 무엇일까를 생각하게 됐다. REST 하게 프로젝트도 진행했고, 프로젝트 진행을 위해 공부를 했던 것 같은데 정확하게 REST 라는 것이 어떤 의미인지는 알지 못하고, 'URI 는 자원을 명시하도록 하고 HTTP Method (POST, GET, PUT, DELETE) 를 통해 CRUD 를 정의한다.' 라고만 알고 있어 REST 가 어떤 의미를 갖는지, REST API 는 무엇인지 자세히 공부할 필요성을 느끼게 됐다.

REST 란?

REST 는 REpresentational State Transfer 의 약자로, 위키에서는 이 용어를 World Wide Web 아키텍처의 설계 / 개발을 가이드하기 위해 만들어진 소프트웨어 아키텍처 스타일이라 정의한다.

REST 는 일련의 원칙들을 정의해서 웹 설계 및 개발 시 가이드라인을 주고 있는데, 이러한 원칙을 잘 지켜 개발된 API 를 RESTful API 라 부른다.

RESTful API 는 다음의 구성으로 이루어져있다.

• URI - 자원 (Resource)
• HTTP Method - 행위 (Verb)
• 표현 (Representation)

REST 의 특징

1. Uniform Interface

유니폼 인터페이스는 URI 로 지정한 자원에 대한 조작을, 통일되고 한정적인 인터페이스로 수행하는 아키텍처 스타일을 의미한다.

2. Stateless

REST 는 상태를 갖지 않는 특성을 갖는다. 다시 말해, 작업을 위한 상태 정보를 따로 저장하거나 관리하지 않는다. 세션 정보나 쿠키 정보를 별도로 저장하고 관리하지 않기 때문에 API 서버는 들어오는 요청을 단순 처리하면 된다. 이로 인해 서비스의 자유도가 높아지고 서버에서 불필요한 정보를 관리하지 않음으로 인해 구현이 단순해진다.

3. Cacheable

REST 의 가장 큰 특징 중 하나는 HTTP 라는 기존의 웹 표준을 그대로 사용하기 때문에, 웹에서 사용하는 기존의 인프라를 그대로 활용할 수 있다는 것이다. 따라서 HTTP 가 가진 캐싱 기능을 적용할 수 있다. 캐싱 기능을 사용하려면 HTTP 프로토콜 표준에서 사용하는 Last-Modified 태그나 E-Tag 를 이용하면 캐싱의 구현이 가능하다.

4. Self - Descriptiveness

REST 의 또 다른 특징 중 하나는 REST API 의 메시지만 보고 무슨 의미를 갖는 지 쉽게 이해할 수 있도록 자체 표현 구조로 되어있다는 점이다.

5. Client - Server 구조

REST 서버는 API 제공, 클라이언트는 사용자 인증이나 컨텍스트 (세션, 로그인 정보) 등을 직접 관리하는 구조로 각각의 역할이 명확히 구분되기 때문에 클라이언트와 서버에서 개발해야 할 내용이 명확해지고, 서로 간의 의존성이 줄어들게 된다.

6. Hierarchical System

REST 서버는 다중 계층으로 구성될 수 있으며 보안, 로드 밸런싱, 암호화 계층을 추가함으로써 구조상의 유연함을 갖출 수 있고 프록시, 게이트웨이와 같은 네트워크 기반의 중간 매체를 사용할 수 있게 한다.

REST API 디자인 가이드

REST API 설계 시 가장 중요한 항목은 다음의 두 가지로 요약할 수 있다.

1. URI 는 요청한 정보의 자원을 표현해야 한다.
2. 자원에 대한 행위는 HTTP Method (POST, GET, PUT, DELETE) 로 표현한다.

1. REST API 중심 규칙

1) URI 는 정보의 자원을 표현해야 한다. (리소스명으로는 동사보다는 명사를 사용)

GET /members/delete/1

위의 방식은 REST 의 원칙을 제대로 적용하지 않은 API 이다. URI 는 자원을 표현하는 데 중점을 두어야 한다. delete 와 같은 행위에 대한 표현이 URI 에 들어가선 안 된다.

2) 자원에 대한 행위는 HTTP Method(POST, GET, PUT, DELETE) 로 표현한다.

위의 잘못된 URI 를 HTTP Method 를 적용해 표현하면 다음과 같이 표현할 수 있다.

DELETE /members/1

정보를 가져올 때는 GET, 정보 추가 시의 행위를 표현할 때는 POST Method 를 사용해 표현한다.

위와 같은 식으로, URI 는 자원을 표현하는 데 집중하고 행위에 대한 정의는 HTTP Method 를 통해 표현하는 것이 RESTful API 를 설계하는 중심 규칙이다.

2. URI 설계 시 주의할 점

1)슬래시 구분자(/) 는 계층 관계를 표현하는 데 사용한다.

http://restapi.example.com/houses/apartments
http://restapi.example.com/animals/mammals/whales

2) URI 의 마지막 문자로 슬래시(/) 를 포함하지 않는다.

URI 에 포함되는 모든 글자는 리소스의 유일한 식별자로 사용되어야 한다. URI 가 다르다는 것은 리소스가 다르다는 것이고, 역으로 리소스가 달라지면 URI 또한 달라져야 한다. REST API 는 분명한 URI 를 만들어 통신을 해야 하기 때문에 혼동을 주지 않도록 URI 경로의 마지막에는 슬래시 문자(/) 를 포함하지 않는다.

http://restapi.example.com/houses/apartments	(O)
http://restapi.example.com/houses/apartments/	(X)

3) 하이픈(-) 은 URI 의 가독성을 높이는 데 사용한다.

URI 를 쉽게 읽고 해석하기 위해서, 불가피하게 긴 URI 경로를 사용하게 될 경우 하이픈을 사용해 가독성을 높일 수 있다.

4) 밑줄(_) 은 URI 에 사용하지 않는다.

글꼴에 따라 다르긴 하지만, 밑줄은 보기 어렵거나 밑줄 때문에 문자가 가려지는 경우도 존재한다. 이런 문제를 피하기 위해 밑줄 대신 하이픈을 사용하는 것이 권장된다.

5) URI 경로에는 소문자가 적합하다.

URI 경로에 대문자를 사용하는 것은 피하도록 해야 한다. 위에서 언급했듯, URI 가 달라지면 리소스가 달라지는데 대소문자에 따라 URI 가 달라져 다른 리소스로 인식하기 때문이다.

6) 파일 확장자는 URI 에 포함하지 않는다.

http://restapi.example.com/members/soccer/345/photo.jpg	(X)

RESTful API 는 메시지 바디 내용의 포맷을 나타내기 위한 파일 확장자를 URI 안에 포함시키지 않는다. 대신 다음과 같이 Accept Header 를 사용해 API 를 호출한다.

GET /members/soccer/345/photo HTTP/1.1 Host: restapi.example.com Accept: image/jpg

3. 리소스 간의 관계 표현 방법

REST 리소스 간에는 연관 관계가 있을 수 있고, 이런 경우 다음과 같은 방법으로 표현한다. (/ 리소스명 / 리소스 ID / 연관 관계가 있는 다른 리소스명)

GET /users/{userid}/devices		(일반적으로 'has' 의 관계를 표현할 때)

만약에 리소스 간 연관 관계가 단순 소유 관계가 아닐 경우, 이를 서브 리소스에 명시적으로 표현할 수 있는 방법이 있다. 예를 들어, 사용자가 '좋아하는' 디바이스 목록을 표현해야 할 경우 다음과 같이 표현할 수 있다.

GET /users/{userid}/likes/devices	(관계명이 애매하거나 복잡한 관계를 표현하고자 할 때)

4. 자원을 표현하는 Collection 과 Document

Collection 과 Document 에 대한 이해는 URI 설계를 더 쉽게 할 수 있도록 도와준다. 도큐먼트는 단순히 문서로 이해할 수도 있고, 하나의 객체로 이해할 수도 있다. 컬렉션은 문서들의 집합, 객체들의 집합이라고 생각하면 이해하는 데 편할 수 있다. 컬렉션과 도큐먼트는 모두 리소스라 표현할 수 있으며 URI 에 표현된다. 다음의 예를 살펴보자.

http://restapi.example.com/sports/soccer

위의 URI 를 보면, sports 라는 컬렉션과 soccer 라는 도큐먼트를 표현하고 있다. 좀 더 자세한 예를 보자.

http://restapi.example.com/sports/soccer/players/13

sports, players 컬렉션과 soccer, 13 (13번 선수) 를 의미하는 도큐먼트로 URI 가 이루어진다. 여기서 중요한 점은, 컬렉션은 URI 에서 복수로 표현하고 있다는 점이다. 좀 더 직관적인 REST API 를 설계하기 위해 컬렉션과 도큐먼트를 사용할 때 단수/복수 를 잘 지킨다면 좀 더 이해하기 쉬운 URI 를 설계할 수 있다.

5. HTTP 응답 상태 코드

마지막으로, 응답 상태코드를 간단히 살펴보자. 잘 설계된 RESTful API 는 URI 만 잘 설계된 것이 아니라 그 리소스에 대한 응답을 잘 내어주는 것까지 포함되어야 한다. 정확한 응답의 상태코드만으로도 많은 정보를 전달할 수 있기 때문에 응답의 상태코드 값을 명확히 하는 것은 생각보다 중요하다. 응답에 대한 상태 코드로 200 과 4XX 정도의 코드만을 사용하고 있다면 처리 상태/결과에 대한 더 명확한 상태 코드값을 사용하는 것이 필요하다.

주로 사용하는 몇 가지의 상태코드는 다음과 같다. 상태 코드들에 대한 자세한 정보는 여기서 확인할 수 있다.

#Reference.

AJAX 란?

JavaScript 라이브러리 중 하나로 Asynchronous Javascript and XML 의 약자
브라우저가 가지고있는 XMLHttpRequest 객체를 이용해 전체 페이지를 새로 고치지 않고도 페이지의 일부만을 위한 데이터를 로드하는 기법
JavaScript 를 사용한 비동기 통신, 클라이언트와 서버 간에 XML 데이터를 주고받는 기술

기본적으로 HTTP 프로토콜은 클라이언트 측에서 Request 를 보내고, 서버 측에서 Response 를 받으면 이어졌던 연결이 끊기게 되고
화면의 내용을 갱신하기 위해서 다시 Request 를 하고 Response 를 받아 페이지 전체를 갱신하게 됨.
이렇게 할 경우, 엄청난 자원 낭비와 시간 낭비로 이어짐.

AJAX 를 이용하게 되면, XMLHttpRequest 객체를 통해 서버에 Request 를 보내고
JSON 이나 XML 형태로 필요한 데이터만 받아 갱신하기 때문에 자원과 시간을 아낄 수 있음.

AJAX 의 장점과 단점

장점

• 웹페이지의 속도향상
• 서버의 처리가 완료될 때까지 기다리지 않고 처리가 가능하다.
• 서버에서 Data만 전송하면 되므로 전체적인 코딩의 양이 줄어든다.
• 기존 웹에서는 불가능했던 다양한 UI를 가능하게 해준다. ( Flickr의 경우, 사진의 제목이나 태그를 페이지의 리로드 없이 수정할 수 있다.)

단점

• 히스토리 관리가 되지 않는다.
• 페이지 이동없는 통신으로 인한 보안상의 문제가 있다.
• 연속으로 데이터를 요청하면 서버 부하가 증가할 수 있다.
• XMLHttpRequest를 통해 통신하는 경우, 사용자에게 아무런 진행 정보가 주어지지 않는다. (요청이 완료되지 않았는데 사용자가 페이지를 떠나거나 오작동할 우려가 발생하게 된다.)
• AJAX를 쓸 수 없는 브라우저에 대한 문제 이슈가 있다.
• HTTP 클라이언트의 기능이 한정되어 있다.
• 지원하는 Charset이 한정되어 있다.
• Script로 작성되므로 디버깅이 용이하지 않다.
• 동일-출처 정책으로 인하여 다른 도메인과는 통신이 불가능하다. (Cross-Domain문제)

Build Tool 이란, 프로젝트 내에서 소스 코드를 가지고 실행 가능한 Application 을 자동으로 생성해 주는 도구이다. 빌드에는 소스 코드를 컴파일하고 링크 및 패키징을 통해 실행 가능한 형태로 변환하는 것이 포함된다.

기본적으로 빌드의 자동화는 소프트웨어 개발자가 다음과 같은 일상적으로 수행하는 다양한 작업을 스크립트화 하거나 자동화하는 행위로 볼 수 있다.

• Downloading Dependencies
• Compiling Source Code into Binary Code.
• Packaging that Binary Code.
• Running Tests.
• Deployment to Product System.

그렇다면, 이러한 빌드 툴은 왜 사용하는 것일까?

소규모의 프로젝트에서는 위와 같이 의존성이 있는 라이브러리나 API 를 직접 설치하고, 소스 코드를 빌드하고 실행하는 것이 큰 문제가 되지 않는다. 하지만 프로젝트의 규모가 커지고, 소스 코드가 방대해질 경우에 각각의 라이브러리들을 일일히 설치하고 사용하는 것은 프로젝트를 수행함에 있어 불필요한 업무의 비중이 높은 것으로 생각될 수 있다. 개발자는 이러한 불필요한 업무를 하지 않기 위해, 자동으로 의존성을 관리하고 소스를 빌드할 수 있는 도구를 사용하는 것이다.

Gradle / Maven

그럼 Java Application 에서 사용하는 Build Tool 은 무엇이 있을까? 대표적으로 Ant, Gradle, Maven 이 있다.

이 중 내가 비교할 것은 Gradle 과 Maven 이다. Ant 는 초기 Java 의 빌드 툴이고, 이를 보완해서 등장한 것이 Maven 이기 때문이다.

우선, Maven 은 pom.xml 을 이용해 정형화된 빌드 시스템을 제공한다. 또한 프로젝트에 대한 정보를 제공하고 개발 가이드라인을 제공한다. 물론 Build Tool 이기에, 새로운 기능을 쉽게 설치하고 업데이트할 수도 있다.

다른 Build Tool 인 Gradle 은 Maven 에 비해 최근 출시된 Tool 로, Ant 와 Maven 의 장점을 모아서 개발되었다고 한다. Build 라는 동적인 요소를 XML 로 정의하는 것에는 설정한 내용의 가독성이 떨어진다거나 의존관계가 복잡한 경우 등의 한계가 있었다. Gradle 은 Maven 과 달리 Groovy 를 사용하기 때문에 동적인 빌드의 경우 Groovy 스크립트로 플러그인을 호출하거나 코드를 직접 짤 수 있다. 또한, 성능적으로도 차이가 있는데 Gradle 이 Maven 에 비해 최대 100배 빠른 성능을 보여준다고 한다.

Gradle 의 단점이라고 한다면, Groovy 문법에 대해 새롭게 공부를 해야 한다는 점으로 볼 수 있을 것이다. 하지만 개발자로서 새로운 것을 배우는 것은 항상 거쳐가야 하는 단계라고 생각을 하기도 하고, 굳이 더 좋은 Gradle 이 있는데 Maven 을 사용해야 할 이유도 없어 Gradle 을 일반적으로 사용하게 될 것 같다.

%spark.dep
z.load("...") // import 하려는 package 를 address:name:version 형식으로 ... 에 입력

후 import ... 형식으로 사용

ex)

%spark.dep

z.load("com.twitter.penguin:korean-text:4.0")

import com.twitter.penguin.***