1. CORS란 무엇인가?

CORS(Cross-Origin Resource Sharing)는 웹 브라우저에서 외부 도메인 리소스를 안전하게 요청할 수 있도록 하는 표준 규약입니다. 프론트엔드와 백엔드가 분리하는데 있어 CORS에 대해서 반드시 짚고 넘어가야합니다. 그래서 온르은 CORS에 대해서 공부해보겠습니다.

2. CORS의 필요성

핵심은 외부로부터 리소스를 공유하는 것입니다. 요즘 웹 애플리케이션에 개발에서 백엔드와 프론트엔드를 구분하지 않고 개발하는 곳은 거의 없을 겁니다.

• 프론트엔드와 백엔드의 분리
• 마이크로서비스 아키텍처 도입
• 외부 API 활용
• SPA(Single Page Application) 개발 방식

이러한 상황에서 다른 출처(Origin)의 리소스를 안전하게 요청하고 사용할 수 있어야 했고, 이를 위한 표준이 바로 CORS입니다.

3. Same-Origin Policy

Same-Origin Policy는 웹 브라우저의 기본적인 보안 정책으로, 같은 출처에서만 리소스를 공유할 수 있도록 제한합니다.

출처(Origin)는 다음 세 가지 요소로 결정됩니다:

• 프로토콜 (http, https)
• 호스트 (domain)
• 포트 번호
• http://example.com/path1, https://example.com/path2 는 프로토콜이 다르므로 다른 출처로 간주됩니다.

4. CORS 동작 방식

CORS는 HTTP 헤더를 통해 동작합니다. 주요 헤더는 다음과 같습니다:

4-1. 요청 헤더

• Origin: 요청을 보내는 출처
• Access-Control-Request-Method: 실제 요청에서 사용할 HTTP 메서드
• Access-Control-Request-Headers: 실제 요청에서 사용할 헤더

4-2. 응답 헤더

• Access-Control-Allow-Origin: 허용된 출처
• Access-Control-Allow-Methods: 허용된 HTTP 메서드
• Access-Control-Allow-Headers: 허용된 헤더
• Access-Control-Max-Age: 프리플라이트 요청 캐시 시간
• Access-Control-Allow-Credentials: 인증 정보 포함 여부

5. CORS 요청의 종류

5-1. Simple Request

• GET, HEAD, POST 중 하나의 메서드 사용
• 허용된 헤더만 사용
• Content-Type이 다음 중 하나:
  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

5-2. Preflight Request

Simple Request 조건을 만족하지 않는 요청의 경우, 브라우저는 실제 요청 전에 OPTIONS 메서드를 사용한 예비 요청을 보냅니다.

5-3. Credentialed Request

인증 정보(쿠키, HTTP 인증)를 포함한 요청입니다.

6. Spring Security CORS 설정

Spring Security CORS 설정에 대해서 알아보겠습니다.

UrlBasedCorsConfigurationSource apiConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();

        // 허용할 출처(Origin) 설정
        // https://api.example.com 에서 오는 요청만 허용
        configuration.setAllowedOrigins(List.of("https://api.example.com"));

        configuration.setAllowedOriginPatterns(List.of(
            "https://*.example.com",     // example.com의 모든 서브도메인 허용
            "https://*.example.*.com",   // 더 복잡한 패턴 매칭도 가능
            "http://localhost:[*]"       // 로컬호스트의 모든 포트 허용
        ));

        // 허용할 HTTP 메서드 설정
        // GET과 POST 메서드만 허용 (PUT, DELETE, PATCH 등은 차단됨)
        configuration.setAllowedMethods(List.of("GET","POST"));

        // 허용할 헤더 설정
        // 모두 허용
        configuration.setAllowedHeaders(List.of("*"));

        // 클라이언트에게 노출할 헤더
        configuration.setExposedHeaders(List.of("Authorization"));

        // allowCredentials를 true로 설정할 경우, allowedOrigins에 "*"를 사용할 수 없습니다
        configuration.setAllowCredentials(true);

        // CORS 프리플라이트 요청의 캐시 시간
        configuration.setMaxAge(3600L);

        // URL 패턴별로 CORS 설정을 적용할 수 있는 객체 생성
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();

        // 모든 경로("/**")에 대해 위에서 설정한 CORS 설정을 적용
        source.registerCorsConfiguration("/**", configuration);


        return source;
    }

    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

        http.cors(cors -> cors
            .configurationSource(apiConfigurationSource())
        );
        
        return http.build();
    }

6-1. Preflight 란?

configuration.setMaxAge() 에 대해서 간단하게 알아보겠습니다.

• 브라우저는 실제 요청 전에 OPTIONS 메서드를 사용하여 preflight 요청을 보냅니다
• 이 요청으로 해당 출처가 안전한지, 어떤 메서드와 헤더가 허용되는지 확인합니다
• 매 요청마다 preflight를 보내면 성능 저하가 발생할 수 있습니다

6-1-1. maxAge의 역할

// 예시: preflight 응답 헤더
Access-Control-Max-Age: 3600
Access-Control-Allow-Methods: GET, POST
Access-Control-Allow-Headers: Content-Type

• 브라우저가 preflight 응답을 캐시하는 시간을 지정
• 캐시 기간 동안은 동일한 요청에 대해 preflight를 다시 보내지 않음
• 서버 부하 감소와 성능 향상에 도움

6-1-2. 브라우저별 최대 제한 시간

// 브라우저별 최대 캐시 시간이 다름
Chrome: 2시간 (7200초)
Firefox: 24시간 (86400초)
Safari: 7일

6-1-3. 장점

• 서버 부하 감소
• 네트워크 트래픽 감소
• 응답 시간 개선

6-1-4. 단점

• CORS 정책 변경 시 캐시된 정책이 즉시 적용되지 않을 수 있음
• 브라우저마다 다른 최대 제한으로 일관성 있는 동작을 보장하기 어려움

6-2. allowCredentials와 allowedOrigins 설정

allowCredentials를 true로 설정하고 allowedOrigins에 "*"를 함께 사용할 수 없는 것은 중요한 보안상의 이유 때문입니다.

credentials에는 쿠키, HTTP 인증 토큰과 같은 민감한 인증 정보가 포함됩니다. 그런데 allowedOrigins에 모든 도메인("*")의 접근을 허용한다면 악의적인 웹사이트에서 사용자의 인증정보를 이용해 요청을 보낼 수 있게 됩니다.

이에 대해서는 CSRF에 대해서 읽어보시기 바랍니다.

따라서 브라우저는 이러한 보안 위험을 방지하기 위해 allowCredentials(true)와 allowedOrigins("*")의 조합을 명시적으로 금지하고 있습니다. 이는 웹 보안의 기본 원칙인 "최소 권한의 원칙"을 따르는 것이며, 실수로 인한 보안 취약점 발생을 방지합니다.

7. 자주 발생하는 CORS 에러와 해결 방법

7-1. No 'Access-Control-Allow-Origin' header is present

• 원인: 서버에서 Access-Control-Allow-Origin 헤더를 설정하지 않음
• 해결: 서버에서 적절한 CORS 설정 추가

7-2. Method not allowed

• 원인: 허용되지 않은 HTTP 메서드 사용
• 해결: allowedMethods에 필요한 메서드 추가

7-3. Credentials flag is true, but Access-Control-Allow-Credentials is false

• 원인: 인증 정보를 포함한 요청에 대한 서버 설정 미비
• 해결: allowCredentials(true) 설정 추가

8. 보안 관련 고려사항

8-1. Origin 설정

• "*" 대신 구체적인 도메인 지정
• 신뢰할 수 있는 출처만 허용

8-2. 인증 관련

• allowCredentials(true) 사용 시 구체적인 출처 지정 필요
• 보안에 민감한 API의 경우 더 엄격한 CORS 정책 적용

8-3. 헤더 설정

• 필요한 헤더만 허용
• exposedHeaders 설정 시 최소한의 헤더만 노출

8-4. 캐시 설정

• maxAge 값을 적절히 설정하여 불필요한 프리플라이트 요청 감소

9. 결론

CORS는 현대 웹 개발에서 필수적인 보안 메커니즘입니다. 올바른 CORS 설정은 웹 애플리케이션의 보안과 기능성을 모두 만족시킬 수 있습니다. 각 프로젝트의 요구사항과 보안 정책에 맞게 적절한 CORS 설정을 적용하시기 바랍니다.

CSRF란?

CSRF Cross-Site Request Forgery의 약자로 인증된 사용자의 권한을 악용하여 해당 사용자가 의도하지 않은 요청을 웹사이트에 전송하는 공격 기법입니다. 공격자는 사용자가 이미 인증된 상태를 악용하여 사용자의 의도와는 무관한 작업을 수행하게 만듭니다. 다시 말해 인증된 요청과 위조된 요청을 구분하지 못하고 서버에서 요청을 처리하여 문제가 생기는 것을 말하는데요. 웹 개발자라면 반드시 알아야하는 부분입니다. 오늘은 이것에 대해서 알아보도록 하겠습니다.

CSRF 공격

CSRF 공격에 대해서 예시와 함께 알아보도록하겠습니다.

예시로 은행 웹사이트에서 로그인한 사용자로부터 돈을 이체할 수 있는 Form이 있다고 가정하겠습니다.

<form method="post" action="/transfer">
    <input type="text" name="amount"/>
    <input type="text" name="account"/>
    <input type="submit" value="Transfer"/>
</form>

HTTP 요청은 다음과 같습니다.

POST /transfer HTTP/1.1
Host: bank.jours.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=10000&account=7654

다음은 은행 웹사이트에서 로그아웃하지 않고 위조된 웹사이트를 방문한다고 가정하겠습니다. 그 웹사이트에는 다음과 같은 HTML이 있습니다.

<form method="post" action="https://bank.jours.com/transfer">
    <input type="hidden" name="amount" value="100000"/>
    <input type="hidden" name="account" value="1234"/> <!-- 공격자 계좌번호 -->
    <input type="submit" value="Win Money!"/>
</form>

위조된 웹사이트에서 submit을 하면 공격자 계좌로 송금이 될겁니다. 이는 위조된 웹사이트가 사용자의 쿠키를 볼 수 없지만 은행과 관련된 쿠키는 여전히 남아 요청과 함께 전송되기 때문에 발생합니다. 더욱 큰 문제는 버튼을 클릭해 submit 하지 않아도 JavaScript를 사용하여 자동화하여 제출할 수 있다는 것입니다. 그렇다면 어떻게 이 문제를 해결할 수 있을까요?

CSRF 방어

읽기전용 메소드

CSRF를 방어하기위해서는 읽기전용 메소드가 선행되어야 합니다.

HTTP Method중 GET, HEAD, OPTIONS, TRACE 메소드는 반드시 읽기전용 메소드가 되어야합니다.

// 잘못된 예시 - GET으로 데이터 변경
@GetMapping("/user/delete/{id}")  // ❌ 절대 하면 안 됨
public void deleteUser(@PathVariable Long id) {
    userService.deleteUser(id);
}

// 올바른 예시 - POST로 데이터 변경
@PostMapping("/user/delete/{id}")  // ✅ 올바른 방법
public void deleteUser(@PathVariable Long id) {
    userService.deleteUser(id);
}

1. Synchrozier Token Pattern

form 안에 CSRF 토큰을 넣어주는겁니다. 그러면 서버는 토큰을 조회하여 값이 일치하지 않으면 요청을 거부할 수 있게됩니다. 핵심은 쿠키는 브라우저에서 자동으로 HTTP 요청에 포함되지만 CSRF 토큰이 브라우저에서 자동으로 포함되지 않는다는 것입니다.

<form method="post" action="/transfer">
    <input type="text" name="amount"/>
    <input type="text" name="account"/>
    <input type="hidden" name="_csrf" value="4bfd1575-3ad1-4d21-96c7-4ef2d9f86721"/>
    <input type="submit" value="Transfer"/>
</form>

HTTP 요청은 다음과 같습니다.

POST /transfer HTTP/1.1
Host: bank.jours.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded

amount=100000&account=7654&_csrf=4bfd1575-3ad1-4d21-96c7-4ef2d9f86721

<!-- Thymeleaf 에서 @{} 를 사용하면 자동으로 CSRF 토큰이 포함됨 -->
<form th:action="@{/login}" method="post">

SameSite

쿠키에 SameSite 속성을 지정하는 것입니다. 서버는 SameSite 속성을 지정하여 외부 사이트에서 오는 쿠키를 보낼지 여부를 정할 수 있습니다.

# application.properties
# strict, lax, none 중 설정
server.servlet.session.cookie.same-site=strict

Spring Boot 2.6.0 이상에서는 SameSite=Lax 가 Default입니다.

SameSite 주의점

• 브라우저가 SameSite를 지원하지 않을 수 있습니다. 예전 브라우저를 사용한다면 SameSite가 지원되지 않을 수 있습니다.
• strict 설정 시  social.jours.com - email.jours.com 과의 쿠키는 전송되지않습니다.

REST API의 CSRF 설정

REST API에서는 CSRF를 disabled 해도 괜찮다고합니다. 왜냐하면 API 요청시 인증정보(Jwt, OAuth2, Client Key 등)를 포함하여 전송하기 때문에 불필요하게 CSRF 인증정보를 저장하지 않아도 되는 것입니다.

Spring Security 에서의 CSRF 설정

Spring Security 에서 CSRF를 설정할 수 있습니다. 기본적으로 CSRF 토큰을 지원합니다.

    @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {

        http.csrf(Customizer.withDefaults());

        return http.build();
    }

csrf 설정 메소드

http.csrf(csrf -> {
    csrf
        // CSRF 완전 비활성화
        .disable()                     
        
        // 특정 경로 CSRF 검증 제외
        .ignoringAntMatchers("/api/**")  
        
        // RequestMatcher로 더 복잡한 조건으로 제외할 경로 설정
        .ignoringRequestMatchers(requestMatcher)  
        
        // CSRF 토큰 저장소 설정
        .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
        
        // 커스텀 CSRF 토큰 저장소 설정
        .csrfTokenRepository(new CustomCsrfTokenRepository())
        
        // CSRF 토큰 생성 요청 처리 경로 설정 (기본값: "_csrf")
        .csrfTokenRequestHandler(requestHandler)
        
        // 세션 속성 이름 설정 (기본값: "CSRF_TOKEN")
        .sessionAuthenticationStrategy(sessionAuthenticationStrategy)
        
        // CSRF 토큰 필터 이전에 실행될 필터 추가
        .requireCsrfProtectionMatcher(requestMatcher)
});

.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) 는 JavaScript에서 CSRF 토큰을 사용 할 수 있도록 쿠키에 저장하는 것인데, 위에서 설명했듯이 API는 csrf.disabled() 해서 사용하는 것이 더 유용할 수 있습니다.

결론

CSRF 공격은 웹 애플리케이션의 중요한 보안 위협이지만, 적절한 방어 메커니즘을 구현함으로써 효과적으로 방어할 수 있습니다. 특히 CSRF 토큰, SameSite 쿠키 설정, 그리고 적절한 헤더 검증을 조합하여 사용하는 것이 권장됩니다.

이전 글

이전 글에서 만들었던 금지어 검사기를 Maven Central Repository에 등록해보겠습니다.

프로젝트 라이브러리화

@Configuration
@ComponentScan("ban.inspector")
public class WordInspectorAutoConfig {

}

이전 프로젝트를 그대로 배포해버리면 @Component 클래스들이 스캔범위 밖으로 벗어나기때문에 @ComponentScan 으로 해당 패키지를 설정해줍니다.

resources 하위에 META-INF 하위에 spring 폴더를 만듭니다.

org.springframework.boot.autoconfigure.AutoConfiguration.imports 라는 이름으로 file을 만듭니다.

위에 파일 안에 @ComponentScan 이 붙은 클래스의 패키지주소를 작성합니다.

이렇게 설정하면 외부라이버리를 Component 로 손 쉽게 사용할 수 있습니다.

Maven Central Repository 등록하기

2024년 3월 12일부터 issues.sonatype.org는 폐쇄되어 모든 등록은 중앙 포털을 통해 이루어지도록 변경되었습니다. 기존 Nexus repository(OSSRH)로 올리는 방식을 사용하던 사용자는 기존 방식을 그대로 사용할 수 있지만, 신규 사용자라면 Maven Central을 통해서 라이브러리를 배포해야 합니다. 따라서 해당 게시글은 2024년 3월 12일 이후 적용되는 중앙포털을 통해 배포하는 방식입니다.

Maven Central Repository

Maven Central Repository는 Maven 프로젝트를 위한 공개 저장소입니다.

우리가 흔히 Maven Repository 에서 라이브러리를 찾아서 사용하는데 Maven Repository 는 라이브러리를 검색하는 곳이고, Maven Central Repository는 실제 파일을 등록하는 곳이라고 생각하시면 됩니다.

1. namespace 만들기

회원가입을 하고 상단에 계정을 눌러 View Namespaces 를 눌러 이동합니다.

라이브러리를 github를 통해 배포하신다면 GitHub로 회원가입하는게 편합니다.

저는 github로 배포할것이기때문에 github로 회원가입했습니다.

GitHub로 회원가입을 하시면 github 주소로 자동생성됩니다.

2. GPG 키 생성

중앙 저장소에 라이브러리를 등록하기 위한 키 입니다.

2-1 설치

MAC은 아래 명령어로 설치하시면되고,

$ brew install gnupg

Windows 는

여기 들어가서 Gpg4WIn 을 다운받아 설치하시면 됩니다.

설치가 완료되었다면 gpg --version 을 통해 정상적으로 설치되었는지 확인합니다.

2-2 키생성

$ gpg --gen-key

키를 발급하는 과정에서 이름, 이메일, 비밀번호를 요구하는데 양식에 맞춰서 잘 작성하시면 됩니다.

비밀번호는 잊어버리지 않게 메모장에 작성해둡니다.

2-3 생성된 키 확인

$ gpg --list-keys --keyid-format short

[keyboxd]
---------
pub   ed25519/85683A34 2024-09-16 [SC] [expires: 2027-09-16]
      4520354F3D5C07DEDC90D716DDFE142685683A34
uid         [ultimate] xxxxxx Kim <xxxxxx@naver.com>
sub   cv25519/23DD4259 2024-09-16 [E] [expires: 2027-09-16]

키가 생성된 것을 확인할 수 있습니다. 여기 ed25519/85683A34 에서 뒤부분 8자리가 key ID가 됩니다. 

2-3 Key 등록

$ gpg --keyserver keyserver.ubuntu.com --send-keys 85683A34

맨 뒤 부분에 key ID를 넣어줍니다.

• keyserver.ubuntu.com
• keys.openpgp.org
• pgp.mit.edu

이 세개의 주소중 하나를 선택해서 등록해주시면 됩니다.

2-4 Pgp 파일 생성

$ gpg --export-secret-keys 85683A34 > /Users/user/Desktop/signing.pgp

pgp 파일을 생성할 위치를 뒤에 작성해줍니다.

3. 프로젝트 설정

build.gradle

plugins {
	...
	id "com.vanniktech.maven.publish" version "0.28.0"
	id 'signing' // GPG 서명을 위한 플러그인
}

plugins 안에 com.vanniktech.maven.publish 와 signing 을 추가합니다.

signing {
	sign publishing.publications
}

signing 을 추가합니다.

build.gradle 최상단에

import com.vanniktech.maven.publish.SonatypeHost

임포트를 해줍니다.

mavenPublishing {
	publishToMavenCentral(SonatypeHost.CENTRAL_PORTAL)

	signAllPublications()

	coordinates("io.github.kimseungwo", "wordinspector", "0.0.1") // 네임 스페이스, 라이브러리 이름, 버전 순서로 작성

	pom {
		name = "Maven Repository에 노출될 라이브러리명"
		description = "라이브러리 소개글"
		inceptionYear = "2024"
		url = "<https://github.com/KIMSEUNGWO/BanWordInspector>"
		licenses {
			license {
				name = "The Apache License, Version 2.0"
				url = "https://www.apache.org/licenses/LICENSE-2.0.txt"
				distribution = "https://www.apache.org/licenses/LICENSE-2.0.txt"
			}
		}
		developers {
			developer {
				id = "tmd8633"
				name = "이름"
				url = "https://github.com/KIMSEUNGWO"
			}
		}
		scm {
			connection = 'scm:git:github.com/KIMSEUNGWO/BanWordInspector.git'
			developerConnection = 'scm:git:ssh://github.com:KIMSEUNGWO/BanWordInspector.git'
			url = '<https://github.com/KIMSEUNGWO/BanWordInspector/tree/main>'
		}
	}
}

scm 작성법

connection = 'scm:git:github.com/[Github 사용자명]/[오픈소스 Repository 이름].git'
developerConnection = 'scm:git:ssh://github.com/[Github 사용자명]/[오픈소스 Repository 이름].git'
url = 'https://github.com/[Github 사용자명]/[오픈소스 Repository 이름]/tree/[배포 브랜치명]'

Maven Central Repository로 돌아와서 계정 - View Account - Generate User Token 클릭

OK 를 누르고 나온 username 과 password 를 메모장에 적어줍니다.

gradle.properties

mavenCentralUsername=[USER_NAME]
mavenCentralPassword=[USER_PASSWORD]
signing.keyId=[GPG_KEY_ID]
signing.password=[GPG_PASSWORD]
signing.secretKeyRingFile=[PGP_SIGNING_PATH]

프로젝트 루트폴더 내에 gradle.properties 를 생성해줍니다.

USER_NAME = Generate User Token 으로 생성된 username

USER_PASSWORD = Generate User Token 으로 생성된 password

GPG_KEY_ID = 2-3에서 생성된 키의 key Id

GPG_PASSWORD=2-2 키 생성시 등록한 비밀번호

PGP_SIGNING_PATH=2-4에서 생성된 pgp 파일의 절대경로

4. 배포

$ ./gradlew publishAllPublicationsToMavenCentralRepository

배포가 성공했다면

Maven Central Repository - 계정 클릭 - View Namespaces - Deployments 로 이동합니다.

VALIDATED 으로 상태가 변경되었다면 Publish 버튼이 활성화 됩니다. Publish를 눌러줍니다.

그럼 PUBLISHING 으로 변경되는데 수 분후에 PUBLISHED 로 변경되었다면 배포 성공입니다.

Maven Central Repository에서도 검색되고 Maven Repository에서도 검색이 됩니다. 이제 외부 라이브러리로 사용하시면 됩니다.

끝

MVC 패턴

MVC 패턴은 개발자라면 한번은 들어봤을겁니다. 오늘은 MVC 패턴에 대해서 알아보겠습니다.

MVC 패턴이란?

모델-뷰-컨트롤러(Model-View-Controller, MVC)는 소프트웨어 디자인 패턴 중 하나입니다. 이 패턴은 사용자 인터페이스(UI)로부터 비즈니스 로직을 분리하여 애플리케이션의 시각적 요소나 그 이면에서 실행되는 비즈니스 로직을 서로 영향 없이 쉽게 고칠 수 있는 애플리케이션을 만들 수 있습니다. 쉽게 말해 비즈니스 로직과 화면을 구분하는데 중점을 둔다는건겁니다.

MVC는 여러 파생되는 패턴을 가지고 있는데요. MVVM(Model-View-ViewModel), MVP(Model-View-Presenter), MVW(Model-View-Whatever)가 있습니다. 이 글에서는 MVC 에 대해서 알아보도록 하겠습니다.

Model, View, Controller의 관계

• Model : 모델은 애플리케이션의 핵심 데이터와 비즈니스 로직을 나타냅니다. DB와의 상호작용, 데이터 처리 및 유효성 검사와 같은 작업을 수행합니다. 모델은 독립적으로 작동하며, 뷰와 컨트롤러와 직접적으로 통신하지 않습니다.
• View : 사용자 인터페이스(UI)를 담당합니다. 모델에서 데이터를 받아 사용자에게 표시하고, 입력을 컨트롤러에 전달하는 역할을 합니다.
• Controller : 사용자의 입력을 처리하고, 애플리케이션의 흐름을 관리합니다. 모델을 호출하여 데이터를 조작하거나 변경된 결과를 뷰에 전달하는 역할을 합니다.

MVC 패턴을 설명할때 많이 사용하는 흐름도를 가져왔습니다.

이 개념을 웹에 적용한다면,

1. USES : 사용자의 입력을 감지하고 Controller로 전달한다.
2. MANIPULATES : Controller는 사용자가 요청한 웹 페이지를 보여주기 위해 Model 호출한다.
3. UPDATES : 비즈니스 로직을 통해 데이터를 제어한 후 결과를 Controller에 반환하고 다시 Controller는 Model의 결과를 받아 View에 전달합니다.
4. SEES : 데이터가 반영된 View가 사용자에게 보여준다.

MVC 패턴의 설계원칙

1. 각 구성 요소의 역할과 책임을 명확하게 구분

Model, View, Controller는 독립적으로 작동하고, 각각의 역할에 집중해야 합니다.

2. 구성 요소간의 결합도 최소화

구성 요소간의 직접적인 참조를 피해 의존성을 낮춰야합니다. 이를 통해 구성 요소를 독립적으로 개발, 수정, 테스트할 수 있습니다.

3. 코드의 재사용성과 확장성 고려

각 구성 요소는 독립적이고 재사용 가능한 모듈로 개발되어야합니다. 프로젝트의 규모가 코지거나 요구 사항이 변경되었을 때, 확장 및 수정이 용이해야합니다.

GET과 POST의 차이

HTTP Method

HTTP Method는 클라이언트가 서버에 요청의 목적 및 종류를 알리는 수단입니다.

그 종류에는 GET, POST, PUT ,PATCH, DELETE.. 등 여러가지가 있습니다. 오늘은 가장 많이 쓰이는 GET과 POST에 대해서 알아보겠습니다.

GET

GET 방식은 주로 서버에서 리소스를 조회할때 사용됩니다.

특징

• 캐시가 가능하다
  • 리소스를 요청할 때 웹 캐시가 요청을 가로채 리소스 복사본을 반환합니다. HTTP Header에서 cache-control 헤더를 통해 캐시 옵션을 지정할 수 있습니다.
• 브라우저 히스토리에 남습니다.
• GET은 SELECT 성향이 있어 서버에서 데이터 조회하는 용도로 활용됩니다.
• URL에 데이터를 포함하여 요청할 수 있습니다. (쿼리스트링)
• 데이터를 Header에 포함하여 전송합니다.

쿼리스트링은 ?로 시작하여 키(Key) = 값(Value) 형태로 전송할 수 있고 & 기호를 사용하여 다수의 데이터를 전송 할 수 있습니다. 다만 문제는 Header에 데이터가 노출되는 문제가 발생합니다. 

POST

POST 방식은 서버에 리소스를 처리할 때 사용됩니다. 주로 데이터를 추가하거나 수정하기 위해 사용됩니다.

특징

• 캐시가 불가능 합니다.
• 브라우저 히스토리에 남지 않습니다.
• URL에 데이터를 노출하지 않고 요청할 수 있습니다.
• 데이터를 Body에 포함하여 전송합니다.

GET과 POST의 차이

• 사용목적
  • GET : 데이터 조회
  • POST : 데이터 생성 또는 수정
• 데이터 위치
  • GET : Header
  • POST : Body
• 멱등성(Idempotent) : 연산을 여러 번 하더라도 결과가 달라지지 않는 성질을 의미합니다.
  • GET : 멱등성 보장
  • POST : 멱등성 보장 X 

URI와 URL은 어떤 차이점이 있을까?

컴퓨터를 사용하는 사람이라면 URL 이란 용어를 자주 들어보셨을 겁니다. 그런데 코딩을 하다보면 URL이 아닌 URI를 더 많이 접하게 될텐데 이 URL과 URI는 무슨 차이가 있을까요? 또 URN은 무엇일까요?

URI (Uniform Resource Identifier)

URI는 우리말로 '통합 자원 식별자' 라고 합니다. 웹 기술에서 사용되는 리소스를 식별하는 고유한 문자 시퀀스입니다.

URI는 리소스의 위치(URL) 또는 이름(URN)으로 리소스를 식별합니다.

• Uniform : 리소스를 식별하는 통일된 방식
• Resource : 자원, URI로 식별할 수 있는 모든 것
• Identifier : 다른 항목과 구분하는데 필요한 정보

URI구분은

이렇게 볼 수 있습니다. 즉 URI는 전체라고 봐도 무방합니다.

URL (Uniform Resource Locator)

URL은 네트워크상에서 리소스의 위치를 나타내기 위한 규약 입니다.

URL은 일반적으로 웹 사이트 주소로만 알고있지만, 웹 사이트 주소뿐만 아니라 컴퓨터 네트워크 상의 자원을 모두 나타내는 표기법입니다. 따라서 해당 주소로 접속하려면 URL에 맞는 프로토콜(http, ftp, smb 등)을 알아야하고 그와 동일한 프로토콜로 접속해야 합니다.

URN (Uniform Resource Name)

URN은 우리말로 '통합 자원 이름' 라고 하고 urn:<NID>:<NSS> 형식으로 사용할 수 있습니다.

예를 들어, 국제 표준 도서 번호(ISBN) 시스템에서 ISBN 0-486-27557-4 의 식별번호의 URN은 urn:isbn:0-486-27557-4 라고 할 수 있습니다.. 여기서 isbn은 네임스페이스 식별자<NID>이고 0-486-27557-4은 네임스페이스 문자열<NSS> 입니다.

URI / URL/ URN 의 구분

사실 URI, URL, URN에 대해서 찾아보고 공부하면서 개념이 잘 잡히지 않았습니다. 왜냐하면 사람마다 정의하고 있는 내용이 조금씩 상이했기 때문입니다.

그래서 저는 위키피디아, stackoverflow, w3c 등의 페이지들을 찾아다니며 조금더 정확한 해답을 얻고싶었습니다.

그러던 중 w3c에서 글 하나를 보게되었습니다.

URI, URL, URN의 구분에 대해서 W3C에서는 차이에 대한 혼란이 있다는것을 확인했고 해당 내용의 문서를 발행했다는 글이었습니다.

이 문제를 클래식한 관점과 현대적인 관점으로 나뉘면서 혼란이 생긴건데 요약해보자면

클래식한 관점에서는 식별자(URI)는 두 개(리소스의 위치(URL) 와 해당 이름(URN) )또는 그 이상의 클래스 중 하나로 분류될것이라고 가정했는데,

시간이 지나면서 현대적인 관점으로는 URI 유형의 집합 중 하나로 캐스팅할 필요가 없다는 견해가 생겼습니다.

URL은 URI의 공식적인 분할이 아닌 리소스가 가질 수 있는 기본 액세스 메커니즘(위치)의 표현을 통해 식별하는 URI의 유형으로 본다는건데요 (번역이 틀렸다면 죄송합니다..)

결국 URL과 URN에 대한 공식 하위구분을 인정하기보다는 URI라는 용어의 우선 순위를 인정한다는건데요.

따라서 URI를 URL, URN 등으로 다양한 유형으로 엄격하게 분할하는 것은 유용하지 않다고합니다.

즉, 시간이 지나면서 용어 구분에 대한 의미가 사라졌고 URI의 용어를 우선적으로 사용하는게 올다고 생각됩니다.

아니 그래서 URI,URL, URN은 어떻게 구별해야 하냐구요

• 리소스를 문자로 식별하면 URN
• 리소스를 문자로 찾으면 URL
• 이 두개는 URI 범주안에 있다.

라고 이해하면 될것같습니다

urn:isbn:0-486-27557-4 이 문자는 URI이지만 구체적으로 텍스트 이름을 지정하기 때문에 URN 입니다.

file://hostname/myname/example.pdf 이 문자는 URI이지만 구체적으로 텍스트를 찾기 때문에 URL 입니다.

https://example.com/index.html 이 문자는 텍스트를 찾기 때문에  URI 이면서 URL 입니다.

https://example.com/index.html?id=100 이 문자도 쿼리파라미터를 포함해서 텍스트를 찾기 때문에 URI 이면서 URL 입니다.

공부하면서 같이 글을 작성하려니까 많이 빼먹은부분이 있는것 같습니다. 부족하거나 틀린부분이 있다면 언제든지 지적해주세요!

참고

1. https://www.w3.org/TR/uri-clarification/
2. https://en.wikipedia.org/wiki/Uniform_Resource_Identifier#cite_note-FOOTNOTEWhitehead199838-43
3. https://url.spec.whatwg.org/#url-apis-elsewhere
4. https://stackoverflow.com/questions/176264/what-is-the-difference-between-a-uri-a-url-and-a-urn%EF%BB%BF
5. https://www.rfc-editor.org/rfc/rfc8141.html#section-1.1