인프런 커뮤니티 질문&답변
작성한 질문수
Session 사용 시 RESTful api users/{userid}에서 userid 가져오기에서
해결된 질문
작성
·
1.1K
·
수정됨
0
[질문 템플릿]
1. 강의 내용과 관련된 질문인가요? (예/아니오)
2. 인프런의 질문 게시판과 자주 하는 질문에 없는 내용인가요? (예/아니오)
3. 질문 잘하기 메뉴얼을 읽어보셨나요? (예/아니오)
[질문 내용]
spring에서 지원하는 서블렛 세션을 사용하면 클라이언트에 JSESSIONID가 쿠키로 전달된다고 알고 있습니다.
질문 1.
RESTful API 설계 시 유저의 마이페이지 관련 정보를 가져오는 백엔드 api path는 '/users/{userid}'가 올바른가요, '/profile'이 올바른가요? 혹은 각기 다른 api path를 통해 뷰에 해당하는 프론트엔드에서 조립해야 하나요?
질문 2.
위의 질문 대답이 전자라면, 클라이언트가 마이페이지 버튼을 눌렀을 때 클라이언트에게 userid가 없고 JSESSIONID만 있는 상태인데, userid를 가져오는 과정을 거친 후에 '/users/{userid}'를 실행해야 하나요? 혹은 로그인 시 userid를 쿠키 등으로 클라이언트에게 전달하여 클라이언트가 갖고 있도록 해야 하나요? 실무에서는 어떤 방식을 사용하는지 궁금합니다.
질문 3.
같은 맥락으로 회원탈퇴 기능의 api를 '/users/{userid}'라고 할 때, JSESSIONID만 가지고 있는 클라이언트가 해당 api를 사용하기 위해서는 userid를 가져오는 작업을 수행해야 하나요, 아니면 다른 방법이나 접근방식이 있을까요?
답변 1
0
안녕하세요. 김민규님, 공식 서포터즈 코즈위버 입니다.
일반적으로 세션에 로그인 정보를 저장할 때는 회원의 간략한 정보를 남깁니다. 가령 회원고유번호 같은 경우입니다. 이처럼 서버에서 세션을 생성하면 세션아이디를 클라이언트에 보관하게 되고, 이후 클라이언트 요청엔 모두 이 세션아이디를 포함하게 됩니다. 그래서 path 경로상에 회원번호를 넣지 않는 방식으로 사용합니다.
path 경로상에 회원번호를 넣는 것이 문제인 이유는, 어차피 URL로 넘어온 회원번호를 신뢰하고 사용하지 않습니다. 만약 path상에 회원번호가 있다면, 타 유저가 아무 회원번호나 넣어가며 호출할 수 있습니다. (탈퇴도 마찬가지겠지요) 그래서 회원이 이 API를 사용할 권한이 있는지 인증 과정을 거치게 되는데 이 때 세션에 있는 회원정보등을 활용합니다.
최근엔 JWT토큰 방식을 많이 사용하는데, 로그인 하면 인증토큰과 갱신토큰 두 가지를 클라이언트에게 전달합니다. 이를 어디에 저장할지는 클라이언트에 위임하지만, 모든 API 호출 헤더에는 반드시 인증토큰을 포함해야 합니다. 그리고 이 인증토큰 정보를 기반으로 회원정보를 복호화하여 사용하는 등의 방법을 사용합니다.
감사합니다.
제가 아는 바에선 그냥 /profile 로 uri를 잡아도 rest api를 위배하지 않는걸로 알고 있습니다. 어떤 개념의 리소스인지는 같으니까요.
이 스택오버플로 질문에서 알게된 내용이었습니다 https://stackoverflow.com/questions/3224893/restful-http-showing-different-representations-to-two-users-on-the-same-uri
Restful api의 규약에 잡혀서 생각하지 않고 세션이나 토큰에 저장된 회원정보를 활용하도록 하겠습니다. 감사합니다.