[Web] HTTP 와 HTTPS 란? RESTful API란?

✅HTTP(Hyper Text Transfer Protocol) 와 HTTPS(Hyper Text Transfer Protocol Secure)란?

HTTP(Hyper Text Transfer Protocol) 

정의 : 서버/클라이언트 모델을 따라 데이터를 주고받기 위한 프로토콜

특징 : 80번 포트 사용, 상태를 가지고 있지 않은 stateless 프로토콜

구조 : 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. method, path, version, headers, body 등으로 구성

하지만 HTTP는 암호화가 되지 않은 평문 데이터를 전송하는 프로토콜이였기 때문에, 민감한정보를 주고 받으면 제 3자가 정보를 조회할 수 있다. 이 문제를 해결하기 위해 HTTPS가 등장하게 되었다. 

 

HTTPS(Hyper Text Transfer Protocol Secure) 

정의 : HTTP에 데이터 암호화가 추가된 프로토콜

특징 : 443번 포트 사용, 네트워크 상에서 중간에 제 3자가 정보를 볼 수 없도록 암호화를 지원, 암호화/복호화의 과정이 필요하기 때문에 http보다 속도가 느리다. (오늘날에는 거의 차이를 못느낄 정도로 발전), 인증서를 발급하고 유지하기 위한 추가비용 발생

구조 : 애플리케이션 레벨의 프로토콜로 TCP/IP 위에서 작동한다. method, path, version, headers, body 등으로 구성

 

 

 

✅HTTPS의 암호화 방식

주로 공개키 암호화와 대칭키 암호화를 조합하여 사용된다.  (데이터의 기밀성과 무결성 보호)

*무결성(Integrity) : 데이터나 정보가 변조되거나 손상되지 않음을 보장하는 보안 속성

대칭키 암호화(Symmetric Encryption):

• 하나의 키를 사용하여 데이터를 암호화하고, 동일한 키로 암호문을 복호화하는 방식
• 대문을 잠그는 자물쇠, 자물쇠를 잠근 열쇠만이 그 자물쇠를 다시 열 수 있다
• 사전에 대칭키를 공유하고 있어야한다

장점 : 간편하고 암/복호화가 빠르다

단점 : 키를 분실하거나 도난 당한다면 내 암호문을 누군가 복호화하여 볼 수 있는 치명적 단점 존재

 

 

공개키(비대칭키) 암호화(Asymmetric Encryption):

• 두 개의 서로 다른 키인 공개키, 개인키를 사용하는 암호화 방식
• 공개키로 암호화된 데이터는 개인키로만 복호화할 수 있다
• 공개키는 공개적으로 배포되며, 개인키는 비밀로 유지된다. 공개키는 사전에 공유되어야 한다. 
•  

1. 클라이언트는 서버의 공개키를 요청한다
2. 서버는 클라이언트에게 공개키를 제공한다
3. 클라이언트는 공개키를 사용하여 데이터를 암호화하여 서버로 보낸다 
4. 서버는 자신의 개인키를 사용하여 클라이언트로 받은 암호화된 데이터를 복호화 한다. 
5. 이제 클라이언트와 서버간의 데이터 통신은 암호화 되어있으며 중간에서 누군가가 데이터를 가로채더라도 데이터를 해독할 수 없다.

장점 : 안전한 키 교환, 서버의 공개키만을 배포하면 되기에 교환의 용이성, 비밀키 유출 우려 감소, 대칭키보다 복잡하며 보안성이 높다

단점 : 공개키/복호화 키를 만들 때 수학적 관계를 만족해야하며 암/복호화 함에 있어서 수학적 연산이 수행되어야하기때문에 처리 시간이 오래걸린다는 단점이 존재한다.

• RSA : 가장 널리 사용되는 공개키 암호화 방식 중 하나로 암호화 및 디지털 서명에 사용된다.

 

 

하이브리드 암호화(Hybrid Encryption):

• 대칭키 암호화와 비대칭키(공개키) 암호화를 조합하여 보안성과 효율성을 동시에 확보하는 암호화 방식
• 대칭키 암호화와 비대칭키 암호화 각각의 장단점을 극복함

1. 웹서버는 공개키와 개인키를 생성
2. 클라이언트 (웹브라우저) 는 웹서버와 통신하기 위해 암호화에 사용할 대칭키를 생성
3. 클라이언트는 웹서버의 공개키를 이용하여 대칭키를 암호화, 웹서버에 전송
4. 웹서버는 개인키를 사용하여 클아이언트가 보낸 암호화된 대칭키를 복호화
5. 이후 클라이언트-웹서버는 대칭키를 사용하여 통신
6. 대칭키를 사용하므로 데이터 전송이 빠르고 효율적이며, 보안성은 개인키를 통해 보장된다

 

 

 

✅REST(Representational State Transfer)ful API란? 

• 정의 : REST 아키텍쳐 스타일을 따르는 웹 API
• HTTP 프로토콜을 기반으로 하며, 자원(데이터)를 고유한 URL로 식별함
• HTTP 메서드 (GET, POST, PUT, DELETE 등)을 사용함
• Stateless(무상태) 통신 : 상태정보를 서버에 저장하지 않고 요청간의 상태 정보를 클라이언트가 관리, 서버의 부하를 줄이고 확장성을 향상시킨다

결론 : RESTful API는 웹 서비스를 개발하고 구축하는데 유용하고 다양한 클라이언트와 플랫폼 사이에서 데이터를 공유하고 연동하는데에 활용된다. API의 일관성과 표준화는 개발 생산성을 높인다.