api 엔드포인트 관련 질문

Question

안녕하세요 강의를 수강한 뒤 프로젝트를 진행해보는 와중에 의문이 생겨서 질문 드립니다. api 엔드포인트 설정할 때 "/resume" 이런식으로 설정했습니다. 어떤 사용자의 이력서인지에 대해서는 토큰에서 토큰 안에 저장되어 있는 uId(userId)를 받아서 인식하게 했습니다. 근데 팀원이 엔드 포인트에 "/resume/{uId}" 이렇게 노출 시켜야하는거 아니냐고 질문을 했습니다. 제가 jwt 토큰 공부할 때 클라이언트가 토큰을 가지고 서버에 보내면 서버 측에서 토큰을 통해 사용자를 인증해주는 거라고 이해했기 때문에 uId를 엔드포인트에 노출 시킬 필요가 없다고 생각했고 보안상 문제에도 좋다고 생각했습니다. 만약 다른 사용자의 이력서를 조회하고 싶은 것이라면 엔드포인트에 uId를 노출시키는 것이 맞지만 본인의 이력서에는 필요가 없다고 생각합니다. "/resume" 과 "/resume/{uId}" 어떻게 하는게 맞나요?

y2gcoder · Answer

안녕하세요. fgh2585님, 공식 서포터즈 y2gcoder입니다. 늘 만능 답변과 같이 사용하기는 하지만, Restful 한 API를 만들기 위해 정한 약속을 저희가 따르고 있는 것과 같이 이것도 팀원 혹은 프로젝트에서 정한 약속에 따라 정하는 것이 좋습니다. 팀원과 fgh2585님의 말씀 모두 일리가 있다고 생각합니다. 다만 본인의 이력서를 조회하는 기능을 가진 API 엔드포인트라면 /resume 로 하는 것이 좀 더 편한 방식이라고 생각합니다! /resume/{uid} 방식으로 하더라도 받은 uid와 토큰의 uid를 비교하여 자신의 이력서일 때만 조회하게 하는 방식으로 만든다면 이 또한 보안적인 측면을 고려한 API 엔드포인트 설계라고 할 수 있을 것 같습니다.     감사합니다.