우선 3주동안의 입문, 숙련, 심화 주차를 거치며 그래도 약간은 Spring에 익숙해 졌다.
이론적으로 조금은 이해를 했지만 점점 시간이 지날수록 어려운 부분이 많아 헤매기도 많이 했고
참 여기저기 많이 물어보며 해결하려고 애썼다.
하지만 그렇게 해결하는 것도 쉽지만은 않았던 것 같다.
우선 미니프로젝트를 하며 그냥 이것저것 던지며 주제를 정하는게 참 좋은거같다.
관심사나 취미 등 이것저것 얘기하다보면 이것 ! 하면서 생각나는 주제를 가지고 만드는게 참 좋다.
재밌기도 하고 모두 다 원하는 내용이다 보니 말이다
우선 ERD와 API설계 등 많은 것들을 연습만 해보다가 미니프로젝트를 진행하며 다시 한번 해보니
조금 더 이해가 되고 좋았던 것 같다.
다만 내가 그 3주간 열심히 못했던 것인지 어려웠다.
지금도 헤매고 있고 어떻게 해결해야할지 방황하고 있다.
조원분들이 많이 도와주시기에 어떻게든 해결을 하려고 힘써보겠지만 쉬운 것은 아닐것같다.
더 많이 물어보며 더 많이 내가 알아가야 겠다.
그리고 이번주는 프론트엔드 분들과 협업을 진행하다 보니 만들고 프론트와 백엔드간 통신을 해야한다.
아직 그부분에 대해 너무 어려워서 조금 더 공부해 보았다.
CORS란?
CORS는 Cross-Origin Resource Sharing의 약자로 직역하면 "교차 출처 리소스 공유" 이다.
좀 더 쉽게 말하면 동일한 출처가 아닌 다른 출처에서 데이터를 주고 받는 것을 허용하는 정책이다.
Same Origin Policy(동일 출처 정책)
동일 출처 정책은 웹 브라우저에서 보안을 강화하기 위하여 동일한 출처에서만 리소스를 주고 받도록 하는 정책이다.
그렇다면 "출처"는 도대체 무엇일까?
쉽게 말하면 URL 주소이다. (먼저 URL의 구성요소를 모르는 분들을 여기 에서 먼저 읽고 오길 바란다.)
하지만 "동일한 출처"는 정확히 똑같은 URL을 의미하는 것을 아니다.
동일한 출처는 URL 중에서도 프로토콜, 도메인 주소, 포트 번호가 같은 것을 의미한다.
예를 들면 아래와 같다.
CORS
다시 CORS로 돌아와서 이러한 동일 출처 정책이 있기 때문에 원래는 다른 출처에서 리소스를 받아오는 것이 제한된다.
하지만 다른 출처로부터 리소스를 받아오는 것은 필수 요소가 되었고, 이러한 문제를 해결하기 위해 나온 정책이 바로 CORS(교차 출처 자원 공유)이다.
그렇다면 CORS는 어떻게 안전하게 다른 출처와 리소스를 공유하는 것일까?
바로 두 가지 방법이 있는데, 단순 요청 방법과 예비 요청 방법이 있다.
Header
요청 방법은 요청하는 헤더와 응답하는 헤더를 통해서 이루어 진다.
요청 헤더
1. Access-Control-Request-Method
요청을 할 때 어떤 메서드를 사용할 것인지를 알려주는 것이다.
2. Access-Control-Request-Headers
요청을 할 때 어떤 헤더를 사용할 것인지 알려주는 것이다.
응답 헤더
1. Access-Control-Allow-Origin
리소스에 접근할 수 있도록 허용하는지를 알려주는 것이다.
2. Access-Control-Expose-Headers
브라우저에게 접근할 수 있는 리스트들을 알려주는 것이다.
3. Access-Control-Max-Age
캐싱되는 시간을 알려주는 것이다.
4. Access-Control-Allow-Credentials
크레덴셜이 true일 때 요청할지에 대한 것을 알려주는 것이다.
5. Access-Control-Allow-Methods
허용되는 메서드를 알려주는 것이다.
6. Access-Control-Allow-Headers
사용 가능한 HTTP 헤더를 알려주는 것이다.
이제 헤더에 대해 알아 보았으니 본격적으로 요청에 대해 다뤄보도록 하자.
Preflight Request (예비 요청)
예비 요청은 말 그대로 미리 요청을 보내보고, 안전한지를 판단한 뒤에 본격적으로 요청을 하는 방식이다.
아래와 같이 예비 요청을 보내고 그에 대한 응답을 받은 뒤 실제 요청을 보내고 응답받게 된다.
조금 더 구체적으로 말하면 헤더에 Access-Control-Request-Method를 통해 요청하는 HTTP 메서드 GET,POST,PUT,DELETE 중 하나의 메서드와 Access-Control-Request-Headers를 통해 OPTIONS라는 헤더를 넣고 요청을 보낸다.
이 때 예비로 확인하는 것 뿐이기 때문에 바디에 아무것도 작성하지 않고 헤더만 보낸다,
해당 메서드와 헤더가 유효하다면 서버는 응답 헤더를 통해 접근 가능한지(Access-Control-Allow-Origin), 사용할 수 있는 리소스의 리스트(Access-Control-Expose-Headers), 캐싱 되는 시간(Access-Control-Max-Age) 등을 알려주는 것이다.
Simple Request (단순 요청)
단순 요청은 위의 예비 요청과는 달리 서버에 바로 본격적으로 요청을 시작한다.
그렇다면 미리 확인하지도 않고 어떻게 안전하게 리소스를 요청하는 것일까?
그 방법은 조금 까다로운 조건들을 거는 것이다.
1. Access-Control-Request-Method를 통해 요청할 때 메서드는 HTTP 메서드가 아닌 GET,HEAD,POST 중 하나여야 한다.
2. Access-Control-Request-Headers 통해 요청을 보낼 때 Accept Accept-Language,Content-Language, Content-TypeDPR, Downlink, Save-Data, Viewport-Width 중 하나여야 한다.
3. Content-Type을 사용할 경우 application/x-www-form-urlencoded,multipart/form-data,text/plain중 하나여야 한다.
이렇게 까다로운 조건을 걸고 해당 조건에 부합하다면 안전한 요청이라 인식하고 데이터를 응답하는 형식이다.
URL 구조
다른 출처의 출처가 무엇인지 살펴봐야 하는데, 출처가 무엇인지 알기 위해서 먼저 URL의 구조를 살펴보아야 합니다. URL 구조는 아래 그림과 같습니다.
프로토콜의 HTTP는 80번, HTTPS는 443번 포트를 사용하는데, 80번과 443번 포트는 생략이 가능합니다.
'개발 > 개발일기' 카테고리의 다른 글
20230101 WIL 클론프로젝트 회고 (1) | 2023.01.01 |
---|---|
항해99 미니프로젝트 WIL (0) | 2022.12.25 |
20221211 주특기 심화 주차 WIL (0) | 2022.12.11 |
20221210 주특기 심화 주차 - 2 (0) | 2022.12.10 |
20221208 주특기 숙련 주차 - 6 (0) | 2022.12.08 |
댓글