REST API란?
-
API(애플리케이션 프로그래밍 인터페이스)란, 애플리케이션이나 디바이스가 서로 간에 연결하여 통신할 수 있는 방법을 정의하는 규칙 세트이다.
-
REST API란 REST(REpresentational State Transfer) 아키텍처 스타일의 디자인 원칙을 준수하는 API이다. 이러한 이유로 REST API를 RESTful API라고도 한다.
-
REST는 개발자에게 비교적 높은 수준의 유연성과 자유를 제공한다. 이러한 유연성은 REST API가 마이크로서비스 아키텍처에서 컴포넌트와 애플리케이션을 연결하는 일반적인 방법으로 부상하게 된 이유 중 하나이다.
REST 디자인 원칙
-
가장 기본적인 수준에서 API는 하나의 애플리케이션이나 서비스가 다른 애플리케이션이나 서비스 내의 리소스에 액세스할 수 있게 해주는 메커니즘이다.
-
액세스를 수행하는 애플리케이션이나 서비스를 클라이언트라고 하고, 리소스가 포함된 애플리케이션이나 서비스를 서버라고 한다.
-
SOAP 또는 XML-RPC와 같은 일부 API는 개발자에게 엄격한 프레임워크를 부과한다. 그러나 REST API는 거의 모든 프로그래밍 언어를 사용해 개발이 가능하며, 다양한 데이터 포맷을 지원할 수 있다.
-
유일한 요구사항은 아래의 다음 6가지 REST 디자인 원칙(아키텍처 제한 사항이라고도 한다)에 부합해야 한다는 것이다.
-
- 균일한 인터페이스 :
- 요청이 어디에서 오는지와 무관하게, 동일한 리소스에 대한 모든 API 요청은 동일하게 보여야 한다. REST API는 사용자의 이름이나 이메일 주소 등의 동일한 데이터 조각이 오직 하나의 URI(Uniform Resource Identifier)에 속함을 보장해야 한다. 리소스가 너무 클 필요는 없지만, 이는 클라이언트가 필요로 하는 모든 정보를 포함해야 한다.
-
- 클라이언트-서버 디커플링 :
- REST API 디자인에서 클라이언트아 서버 애플리케이션은 서로 간에 완전히 독립적이어야 한다. 클라이언트 애플리케이션이 알아야 하는 유일한 정보는 요청된 리소스의 URI이며, 이는 다른 방법으로 서버 애플리케이션과 상호작용할 수 없다. 이와 유사하게, 서버 애플리케이션은 HTTP를 통해 요청된 데이터에 전달하는 것 말고는 클라이언트 애플리케이션을 수정하지 않아야 한다.
-
- Stateless :
- REST API는 stateless이다. 이는 각 요청에서 이의 처리에 필요한 모든 정보를 포함해야 함을 의미한다. 즉, REST API는 서버측 세션을 필요로 하지 않는다. 서버 애플리케이션은 클라이언트 요청과 관련된 데이터를 저장할 수 없다.
참고 - **세션(session)**이란?세션(session)이란 웹 사이트의 여러 페이지에 걸쳐 사용되는 사용자 정보를 저장하는 방법을 의미합니다.
사용자가 브라우저를 닫아 서버와의 연결을 끝내는 시점까지를 세션이라고 합니다.
-- 살펴본 쿠키는 클라이언트 측의 컴퓨터에 모든 데이터를 저장합니다.
하지만 세션은 서비스가 돌아가는 서버 측에 데이터를 저장하고, 세션의 키값만을 클라이언트 측에 남겨둡니다.
브라우저는 필요할 때마다 이 키값을 이용하여 서버에 저장된 데이터를 사용하게 됩니다.
이러한 세션은 보안에 취약한 쿠키를 보완해주는 역할을 하고 있습니다.
-
- 캐싱 가능성 :
- 가능하면 리소스를 클라이언트 또는 서버 측에서 캐싱할 수 있어야 한다. 또한 서버 응답에는 전달된 리소스에 대해 캐싱이 허용되는지 여부에 대한 정보도 포함되어야 한다. 이의 목적은 서버측의 확장성 증가와 함께 클라이언트 측의 성능 향상을 동시에 얻는 것이다.
-
- 계층 구조 아키텍처 :
- REST API에서는 호출과 응답이 서로 다른 계층을 통과한다. 경험에 따르면 클라이언트와 서버 애플리케이션이 서로 간에 직접 연결된다고 가정하지 않는 것이 좋다. 통신 루프에는 다수의 서로 다른 중개자가 있을 수 있따. REST API는 엔드 애플리케이션 또는 중개자와 통신하는지 여부를 클라이언트나 서버가 알 수 없도록 설계되어야 한다.
-
- 코드 온디맨드(옵션) :
- REST API는 일반적으로 정적 리소스를 전송하지만, 특정한 경우에는 응답에 실행 코드(예: Java애플릿)를 포함할 수도 있다. 이 경우에 코드는 요청 시에만 실행되어야 한다.
REST API의 작동 방식
REST API는 HTTP요청을 통해 통신함으로써 리소스 내에서 레코드(CRUD 라고도 함)의 작성, 읽기, 업데이트 및 삭제 등의 표준 데이터베이스 기능을 수행한다. 예를 들어, REST API는 GET요청을 사용해 레코드를 검색하고, POST 여청을 사용해 레코드를 작성하며, PUT 요청을 사용해 레코드를 업데이트하고, DELETE 요청을 사용해 레코드를 삭제한다. 모든 HTTP 메소드는 API호출에서 사용될 수 있다. 잘 디자인된 REST API는 HTTP 기능이 내장된 웹 브라우저에서 실행되는 웹사이트와 유사하다.
특정 순간 또는 타임스탬프의 리소스 상태를 리소스 표현이라고 한다. 이러한 정보는 JSON(JavaScript Object Notation), HTML, XLT, Python,PHP 또는 일반 텍스트를 포함하여 실제로 거의 모든 형식으로 클라이언트에 전달될 수 있다. (JSON은 사람과 기계가 모두 읽을 수 있고 프로그래밍 언어에 구애받지 않기 때문에 자주 사용된다.)
요청 헤더와 매개변수 역시 메타데이터, 권한 부여, URI, 캐싱, 쿠키 등의 중요한 식별자 정보를 포함하므로 REST API호출에서 중요하다. 요청 헤더와 응답 헤더는 일반적인 HTTP 상태 코드와 함께 잘 디자인된 REST API 내에서 사용된다.
REST API 우수 사례
유연성이 REST API 디자인의 커다란 장점임에도 불구하고, 이러한 유연성 때문에 중단되거나 성능이 떨어지는 API를 손쉽게 디자인할 수도 있다. 이러한 이유로 전문 개발자는 REST API 스펙의 우수 사례를 공유한다.
OAS(OpenAPI Specification)는 모든 개발자 또는 애플리케이션이 API를 발견하고 사용 가능한 엔드포인트, 각 엔드포인트에서 허용되는 작업, 작업 매개변수, 인증 방법, 기타 정보 등 API와 관련된 매개변수와 기능을 완벽하게 이해할 수 있는 방식으로 API를 기술하는 인터페이스를 설정한다. 최신 버전인 OAS3은 서로 다른 프로그래밍 언어로 API클라이언트 및 서버 스텁을 생성하기 위한 OpenAPI 생성기 등의 실습용 툴과 함께 제공된다.
REST API 보안 역시 암호 보안을 위해 해싱 알고리즘을 사용하고 안전한 데이터 전송을 위해 HTTPS를 사용하는 등의 업계 우수 사례로 시작된다. OAuth 2.0 등의 권한 부여 프레임워크는 써드파티 애플리케이션의 권한을 제한하는 데 도움이 된다. API는 HTTP 헤더 내의 타임스탬프를 사용하여 특정 시간 이후에 도착하는 요청을 거부할 수도 있다. 매개변수 검증과 JSON 웹 토큰은 승인된 클라이언트만 API에 액세스할 수 있도록 보장하는 또 다른 방법이다.
