답답이의 개발노트

JWT * OAuth에 의해서 발급되는 access_token은 random string으로 토큰 자체에는 특별한 정보를 가지고 있지 않습니다. API나 서비스를 제공하는 서버 입장에서는 토큰을 가지고 토큰과 연관된 정보(사용자 ID나 권한 등..)를 서버쪽에서 찾아야 합니다. 이에 반해 JWT는 토큰자체가 정보를 가지고 있습니다. 사용자에 대한 프로퍼티나 속성을 Claim이라고 하는데, JWT는 이 Claim를 JSON 형태로 정의합니다. { "id":"terry" ,"role":["admin","user"] ,"company":"pepsi"} * OAuth 토큰의 경우 1. API 클라이언트가 Authorization Server (토큰 발급서버)로 토큰요청 이때, 토큰 발급을 요청하는 사용자의 계정..

OAuth(Open Authorization)웹, 앱 서비스에서 제한적으로 권한을 요청해서 사용할 수 있는 키(토큰)를 발급해주는 것입니다. * 인증과 허가Authentication : 인증Authorization : 허가, 권한부여 ex) 사용자가 ID와 Password 입력을 통해 로그인 하는 것은 인증(Authentication)이고, 로그인 후 그 사용자가 관리자인지 일반 사용자인지 또는 일부기능만 이용할 수 있는 특정사용자인지 구분하는 것은 권한부여(Authorization)입니다. * 용어- User(Resource Owner) : 서비스 공급자와 소비자를 사용하는 계정을 가지고 있는 개인- 소비자(consumer) : Open API를 이용하여 개발된 OAuth를 사용하여 서비스 제공자에게 ..

HTTP 프로토콜- Connectionless : 클라이언트가 서버에 요청을 하고, 서버가 클라이언트에게 응답을 보내면 접속을 끊는다.- Stateless : 통신이 끝나면 상태 정보를 유지하지 않는다. Connectionless 하고 Stateless 한 HTTP 프로토콜을 사용하면서 Server가 Client를 식별할 수 있는 방법으로 쿠키와 세션을 사용하게 되었습니다. 쿠키와 세션을 사용하지 않으면 로그인 상태 정보를 유지하지 않아서 페이지를 이동할 때마다 로그인 해야합니다. 쿠키(Cookie)- 상태정보를 "사용자의 브라우저"에 저장하는 방식- 이름, 값, 만료 날짜, 경로 정보가 들어있습니다.- 보안에 취약합니다. 사용자의 컴퓨터를 만질 수 있다면 누구라도 쿠키에 입력된 값을 확인할 수 있습니다..

REST 또는 RESTFul 하다 라는 말을 개발하면서 여기저기에서 들어봤지만, 정확하게 REST가 어떤 개념인지 RESTFul하다는게 어떤 것인지 확실히 알 수 없어서여러 블로그를 읽고 구글링해봤습니다. 며칠간 공부하며 익혀온 것들을 잊지않고 기억하기위해 제가 이해한대로 포스팅을 해보겠습니다. 잘못된 정보가 있으면 댓글로 알려주세요~ REST / RESTFul REST에 대해 위키백과 및 여러 블로그에 정의가 내려져 있지만 이해하기 쉽지않았습니다. 많은 블로그를 읽어본 결과 한문장으로 정리하자면 "자원을 정의하고 자원에 대한 주소를 지정하는 방법 전반" 이라고 설명할 수 있습니다. 또한 REST의 기본원칙을 지킨 서비스 디자인은 "RESTFul하다" 라고 얘기합니다. 중심규칙 크게 2가지 규칙이 있습니..