![]()
2019/06/07 - [프로그래밍 노트/WEB] - REST API 보안_인증(Authentication) 2019/05/30 - [프로그래밍 노트/WEB] - REST API 보안_1 ※ 모든 REST API보안관련된 내용은 거의 내용이 비슷하다고 봐도 무방할정도로 조대협님의 블로그를 참고하였다. 쉽고 자세하게 설명이되 있어서 .. 블로그 구독을 눌렀다. (조대협님의 블로그) 인증이 끝나면 인가(Authorization)과정이 필요하다. 사용자가 인증을 받고 로그인을 했더라도 해당 API를 사용할 수 있는 권한이 있는지 체크하는 과정이 필요하다. 예를 들면 일반사용자가 사용자를 삭제하는 API를 호출할 수 있게 되면 큰일나기 때문에 (관리자만 사용해야함) 인증을 통해서 시스템 내의 사용자임을 확인 받..
※ 모든 REST API보안관련된 내용은 거의 내용이 비슷하다고 봐도 무방할정도로 조대협님의 블로그를 참고하였다. 쉽고 자세하게 설명이되 있어서 .. 블로그 구독을 눌렀다. (조대협님의 블로그) 근래에 대부분의 서비스 시스템들은 API를 기반으로 통신을 한다. 보안에 관하여 알아보자. REST API 보안 관점 크게 아래와 같은 5가지 형태로 나눠진다. 1. 인증(Authentication) 누가 서비스를 사용하는지를 확인하는 절차이다. 우리가 네이버나 구글에 아이디와 비밀번호를 넣어서, 사용자를 확인하는 과정을 인증이라 할 수 있다. API도 마찬가지로 API를 호출하는 대상을 확인하는 절차가 필요하고 이를 API 인증이라 한다. 2. 인가(Authorization) 인가는 해당 리소스에 대해서, 사용..
REST API 디자인 가이드 URI는 정보의 자원을 표현해야 한다. 자원에 대한 행위는 HTTP Method(GET, POST, PUT, DELETE)로 표현한다. 중심 규칙 사용자 추가, 삭제, 수정을 하는 REST API를 설계해보자. URI는 정보의 자원을 표현해야 한다. (리소스는 명사를 선호) GET /members/delete/1아이디가 1인 계정을 삭제하라는 뜻 같다. 이것은 REST 할까? REST하지 않다. URI는 자원을 표현하는데 중점을 두어야 하며, delete같은 행위에 대한 표현이 들어가면 안된다. 위의 URI는 아래와 같이 수정할 수 있다. DELETE /members/1HTTP Method 그렇다면 회원을 추가하거나 정보를 조회하는 것을 설계해 보자. 회원정보 조회 GET ..
![]()
[들어가기전] REST API라고하면, 데이터를 json으로 주고받고 행위에 맞게 HTTP Method를 셋팅해주는 것으로만 알고 있었다.(동영상 보기전까지) 몇 달전에 스프링을 이용한 RESTful 웹 서비스 구축하기 책을 보며 프로젝트를 따라해보았는데, 책의 마지막부분 쯤에 HATEOAS라는 부분이 있었다. spring에서 제공해주는 것인데 링크를 만들어주는 라이브러리 였다. REST API 구축하는데 이게 왜 들어가있지라는 궁금증을 갖긴 했었는데 이 동영상을 보고나니 그 궁금증이 풀렸다. 결론적으로 말하자면, 우리가 얇게 알고 만들었던 REST한 API는 사실 REST API가 아닐지도 모른다. 그저 HTTP API라고 불러야 하며 REST API는 여러가지 제약조건을 만족시켜야 한다. REST R..
프로젝트 준비 pom.xml 설정 스프링을 손쉽게 테스트할 수 있도록 spring-test를 추가한다. 스프링은 기본적으로 JCL을 사용하는데, 이 프로젝트는 SLF4J를 사용하므로 commons-logging 라이브러리를 exclusions 시킨다. org.springframework spring-test ${version.spring} test commons-logging commons-logging library 설정 spring-webmvc(core, beans, aop, context), slf4j, junit 추가 Servlet API도 추가한다. 실제 실행할 때는 서블릿 컨테이너가 Servlet API를 제공하지만, 컴파일할 때 라이브러리가 필요하므로 추가해야 한다. (의존범위 : provi..
