[네트워크] HTTP/HTTPS

HTTP(Hyper Text Transfer Protocol)

서버 클라이언트 모델을 따라 데이터를 주고 받기 위한 프로토콜이다. OSI 네트워크 통신 모델의 애플리케이션 계층에서 사용한다.

HTTP 동작

클라이언트 즉, 사용자가 브라우저를 통해서 어떠한 서비스를 url을 통하거나 다른 것을 통해서 요청(request)을 하면 서버에서는 해당 요청사항에 맞는 결과를 찾아서 사용자에게 응답(response)하는 형태로 동작한다.

• 요청 : client -> server
• 응답 : server -> client

HTML 문서만이 HTTP 통신을 위한 유일한 정보 문서는 아니다.
Plain text로 부터 JSON 데이터 및 XML과 같은 형태의 정보도 주고 받을 수 있으며, 보통은 클라이언트가 어떤 정보를 HTML 형태로 받고 싶은지, JSON 형태로 받고 싶은지 명시해주는 경우가 많다.

HTTP 특징

• 클라이언트의 요청과 그에 대한 서버의 응답으로 이뤄진다. 
• TCP/ IP 통신 위에서 동작하며 80번 포트를 사용한다. 
  (컴퓨터와 컴퓨터간에 데이터를 전송 할 수 있도록 하는 장치로 인터넷이라는 거대한 통신망을 통해 원하는 정보(데이터)를 주고 받는 기능을 이용하는 응용 프로토콜)
• HTTP는 연결 상태를 유지하지 않는 Connectionless( 비연결성 )프로토콜이다.
  (한가지 요청에 대한 응답을 받으면 그 연결을 끊어버리는 것 / 연결에 대한 리소스를 줄일 수 있지만, 같은 클라이언트에서 오는 요청도 계속 연결.해제 해야되는 단점이 있다. -> 그래서 나온게 쿠키와 세션이다.)
• Connectionless의 특징 때문에 stateless 이다. ( 같은 클라이언트에서 계속 요청을 보내더라고 그 요청은 각각 독립적으로 처리된다.)

• 서버 : 어떠한 자료에 대한 접근을 관리하는 네트워크 상의 시스템 (요청에 대한 응답을 보내준다.)
• 클라이언트 : 그 자료에 접근할 수 있는 프로그램
  Ex) 웹 브라우저, 핸드폰 어플리케이션 등...

클라이언트 프로그램에서 사용자가 회원가입을 시도하게 되면, 서버로 회원정보를 보내게 되고 서버는 회원 정보를 저장해주기도 한다. 이 과정에서 클라이언트와 서버 간의 교류가 HTTP라는 규약을 이용하여 발생하게 된다.

 

HTTP Method

우리가 HTTP를 이용하여 클라이언트에서 서버로 요청을 보낼 때 어떠한 목적으로 요청을 하는 것인지 정의를 내릴 수 있습니다. 예를 들면 조회(단순 열람)를 목적으로 하는지, 데이터 수정을 목적으로 하는지 등을 미리 정의내려서 요청을 보낼 수 있는데 이 때 HTTP Method라는 것을 사용한다.

​

이름	역할
GET	서버에게 데이터를 달라는 요청(열람)할 때 사용
HEAD	GET과 같지만 서버가 응답할 때 Body 없이 Header만 리턴
POST	서버에게 데이터를 전송하는 요청할 때 사용
PUT	서버에서 요청 *URI의 데이터를 수정하거나 새로 추가하도록 요청할 때 사용
PATCH	서버의 데이터를 일부 수정할 때 사용
DELETE	서버에서 요청 *URI​​의 데이터를 삭제하도록 요청할 때 사용
TRACE	클라이언트로부터 수신한 요청을 응답에 포함시켜서 전달 (디버깅용)
OPTIONS	서버에서 특정 데이터가 어떤 Method를 지원하는지 알아볼 때 사용

 

 

 

---

HTTP 상태 코드

HTTP Status 코드라고 불리기도 하며 서버가 응답을 전송할 때 같이 전송하는 코드다.

3자리 숫자로 이루어져 있으며 요청에 대한 서버의 상태를 나타내주는데, 앞 자리는 1~5의 숫자 중 하나이며 이 중 4와 5는 비정상적인 상황, 즉 오류가 있음을 의미한다. 

​

1XX - 정보 응답

· 100 Continue​ : 현재 요청이 진행중이며 문제 없다는 것을 의미합니다.

​

2XX - 성공 응답

· 200 OK : 요청이 성공적으로 완료되었음을 의미합니다.

· 201 Created : 요청이 성공적으로 완료되었고 새로운 리소스가 생성되었음을 의미합니다. 보통 POST아니면 PUT 요청 뒤에 따라옵니다.

​

3XX - 리다이렉션 메시지

· 300 Multiple Choice : 요청에 대해 하나 이상의 응답이 가능함을 의미합니다.

· 301 Moved Permanently : 요청한 리소스의 URI가 변경되었음을 의미합니다.

​

4XX - 클라이언트 에러 응답

· 400 Bad Request : 잘못된 문법으로 인해 서버가 요청을 이해하지 못했음을 의미합니다.

· 401 Unauthorized : 요청을 보낸 클라이언트가 인증되지 않았음을 의미합니다.

· 403 Forbidden : 요청을 보낸 클라이언트가 리소스에 접근할 권리가 없음을 의미합니다.

· 404 Not Found : 서버가 요청받은 리소스를 찾을 수 없음을 의미합니다.

· 408 Request Timeout : 요청 중 시간이 초과되었음을 의미합니다.

​

5XX - 서버 에러 응답

· 500 Internal Server Error : 서버에 문제가 있지만 서버가 해당 문제를 처리할 줄 모름을 의미합니다.

· 502 Bad Gateway : 서버가 게이트웨이로부터 잘못된 응답을 받았음을 의미합니다.

· 503 Service Temporarily Unavailable : 일시적으로 서버를 이용할 수 없음을 의미합니다. 보통 유지보수를 위해 서버를 잠시 중단시켰거나 과부하로 인한 다운이 원인입니다.

· 504 Gateway Timeout : 서버가 게이트웨이 역할을 하고 있으며 다른 서버로부터 적시에 응답을 받지 못했음을 의미합니다.

---

HTTPS (Hyper Text Transfer Protocol Secure)

 HTTPS는 HTTP에 데이터 암호화가 추가된 프로토콜이다. (HTTP+SSL=HTTPS)

HTTPS는 HTTP와 다르게 443번 포트를 사용하며, 네트워크 상에서 중간에 제3자가 정보를 볼 수 없도록 암호화를 지원하고 있다.

HTTPS는 대칭키 암호화와 비대칭키 암호화를 모두 사용하여 빠른 연산 속도와 안정성을 모두 얻고 있다.

HTTPS 연결 과정에서는 먼저 서버와 클라이언트 간에 세션키를 교환한다.

• 세션키 : 데이터 간의 교환에는 빠른 연산 속도가 필요하므로 세션키는 대칭키로 만들어진다.

 

1.  대칭키 암호화

• 클라이언트와 서버가 동일한 키를 사용하여 암호화/복호화
• 키가 노출되면 위험함
• 연산 속도가 빠름

2. 비대칭키 암호화

• 1개의 쌍으로 구성된 공개키와 개인키를 사용하여 암호화/복호화
• 키가 노출되어도 비교적 안전함
• 연산 속도가 느림
• 공개키로 암호화 시, 개인키로만 복호화 가능 → 나만 볼 수 있음
• 개인키로 암호화 시, 공개키로만 복호화 가능 → 내가 인증한 정보임을 알려 신뢰성 보장

※ HTTPS 연결을 위해 서버/클라이언트 간 세션키를 교환하며, 세션키를 대칭키로 사용하여 데이터를 주고 받는다.

• 비대칭키를 사용하여 세션키를 주고 받음 (안전하게 세션키 공유)
• 세션키를 대칭키로 사용하여 데이터를 주고 받음 (빠른 연산 속도)

 

1. 클라이언트(브라우저=내 컴퓨터)가 서버로 최초 연결 시도를 한다.
2. 서버는 공개키(엄밀히는 인증서)를 브라우저에게 넘겨준다.
3. 브라우저는 인증서의 유효성을 검사하고 세션키를 발급한다.
4. 브라우저는 세션키를 보관하며 추가로 서버의 공개키로 세션키를 암호화하여 서버로 전송한다.
5. 서버는 개인키로 암호화된 세션키를 복호화하여 세션키를 얻는다.
6. 클라이언트와 서버는 동일한 세션키를 공유하므로 데이터를 전달할 때 세션키로 암호화/복호화를 진행한다.

HTTPS의 발급 과정

서버가 비대칭키를 발급받는 과정

 

서버는 클라이언트와 세션키를 공유하기 위한 공개키를 생성해야 하는데, 일반적으로 인증된 기관(Certificate Authority)에 공개키를 전송하여 인증서를 발급받는다.

1. A 기업은 HTTP 기반의 애플리케이션에 HTTPS를 적용하기 위해 공개키/개인키를 발급한다.
2. CA 기업에게 돈을 지불하고, 공개키를 저장하는 인증서의 발급을 요청한다.
3. CA 기업은 CA 기업의 이름, 서버의 공개키, 서버의 정보 등을 기반으로 인증서를 생서하고, CA 기업의 개인키로 암호화하여 A 기업에게 이를 제공한다.
4. A 기업은 클라이언트에게 암호화된 인증서를 제공한다.
5. 브라우저는 CA 기업의 공개키를 미리 다운 받아 갖고 있어, 암호화된 인증서를 복호화한다.
6. 암호화된 인증서를 복호화하여 얻은 A 기업의 공개키로 세션키를 공유한다.