Session 사용 시 RESTful api users/{userid}에서 userid 가져오기에서

Question

[질문 템플릿] 1. 강의 내용과 관련된 질문인가요? ( 예 /아니오) 2. 인프런의 질문 게시판과 자주 하는 질문에 없는 내용인가요? ( 예 /아니오) 3. 질문 잘하기 메뉴얼을 읽어보셨나요? ( 예 /아니오) [질문 내용] spring에서 지원하는 서블렛 세션을 사용하면 클라이언트에 JSESSIONID가 쿠키로 전달된다고 알고 있습니다. 질문 1. RESTful API 설계 시 유저의 마이페이지 관련 정보를 가져오는 백엔드 api path는 '/users/{userid}'가 올바른가요, '/profile'이 올바른가요? 혹은 각기 다른 api path를 통해 뷰에 해당하는 프론트엔드에서 조립해야 하나요?   질문 2. 위의 질문 대답이 전자라면, 클라이언트가 마이페이지 버튼을 눌렀을 때 클라이언트에게 userid가 없고 JSESSIONID만 있는 상태인데, userid를 가져오는 과정을 거친 후에 '/users/{userid}'를 실행해야 하나요? 혹은 로그인 시 userid를 쿠키 등으로 클라이언트에게 전달하여 클라이언트가 갖고 있도록 해야 하나요? 실무에서는 어떤 방식을 사용하는지 궁금합니다.   질문 3. 같은 맥락으로 회원탈퇴 기능의 api를 '/users/{userid}'라고 할 때, JSESSIONID만 가지고 있는 클라이언트가 해당 api를 사용하기 위해서는 userid를 가져오는 작업을 수행해야 하나요, 아니면 다른 방법이나 접근방식이 있을까요?

나무늘보 · Answer

안녕하세요. 김민규님, 공식 서포터즈 코즈위버 입니다. 일반적으로 세션에 로그인 정보를 저장할 때는 회원의 간략한 정보를 남깁니다. 가령 회원고유번호 같은 경우입니다. 이처럼 서버에서 세션을 생성하면 세션아이디를 클라이언트에 보관하게 되고, 이후 클라이언트 요청엔 모두 이 세션아이디를 포함하게 됩니다. 그래서 path 경로상에 회원번호를 넣지 않는 방식으로 사용합니다. path 경로상에 회원번호를 넣는 것이 문제인 이유는, 어차피 URL로 넘어온 회원번호를 신뢰하고 사용하지 않습니다. 만약 path상에 회원번호가 있다면, 타 유저가 아무 회원번호나 넣어가며 호출할 수 있습니다. (탈퇴도 마찬가지겠지요) 그래서 회원이 이 API를 사용할 권한이 있는지 인증 과정을 거치게 되는데 이 때 세션에 있는 회원정보등을 활용합니다. 최근엔 JWT토큰 방식을 많이 사용하는데, 로그인 하면 인증토큰과 갱신토큰 두 가지를 클라이언트에게 전달합니다. 이를 어디에 저장할지는 클라이언트에 위임하지만, 모든 API 호출 헤더에는 반드시 인증토큰을 포함해야 합니다. 그리고 이 인증토큰 정보를 기반으로 회원정보를 복호화하여 사용하는 등의 방법을 사용합니다. 감사합니다.