[RESTful API] 민감한 파라미터 통한 데이터 조회시 GET vs POST

보안RESTful한 개발을 위해 공부할때 처음으로 배운게 요청 method에 따른 API 역할이었다.get은 조회, post는 서버 작업으로 알고 있었지만 실제 프로젝트에 들어가면 이를 지키기가 쉽지 않다. 그 대표적인 예시 상황이 파라미터로 넣어줄 값이 외부에 노출되면 안될 민감한 데이터인 경우다.예를 들어 사용자의 개인정보, api-key 등을 get 요청으로 쿼리스트링으로 보내줄 경우 url에 노출되고 길이 제한으로 암호화 역시 어렵다. 또한 GET 요청은 default로 캐싱 대상이 될 수 있어 브라우저 캐시에 남아 유출 위험이 있다. https를 사용할 경우 MITM(Man-in-the-Middle)같은 공격은 방지 할 수 있어 어느정도 보안성은 보장되지만 그래도 여전히 url이 브라우저 주소창..

2025.01.13