HTTP API 작성 가이드

API는 공개 수준에 따라 아래의 3가지로 구분하며, 가능한 높은 공개 수준을 지원해야 한다.

Public API
- 서드파티 혹은 임의의 개인이 사용 가능
- FQDN: api.ridibooks.com
  - 도메인은 API Gateway에 연결되어 있으며, 변경 필요시 @ridi/performance 팀에 요청
- 보안 프로토콜(TLS)을 사용해야 함
- 인증에는 OAuth 2.0을 사용
  - 인증 서버 구현체 및 Python, PHP 미들웨어 참고
- 첫 번째 Path Segment는 서비스명으로 시작한다.
  - 예) 검색 서비스: api.ridibooks.com/search/
  - 예) 책 상세 서비스: api.ridibooks.com/books/
Protected API
- 세컨드파티 혹은 내부 직원만 사용 가능
- FQDN:
  - 공인 IP가 있다면 {team}-api.ridibooks.com
  - 공인 IP가 없다면 api.{team}.ridi.io
- 공인 IP를 가질 경우 보안 프로토콜(TLS)을 사용해야 함
- 클라이언트 라이브러리가 필요한 경우 사용하는 팀에서 직접 작성
Private API
- 팀 내부에서만 사용 가능
- 도메인 규칙 없음
- 포맷, 문서화는 팀 내 규약에 따라 자유롭게 관리
- 하위호환 유지할 필요 없음

Public/Protected API는,

HTTP 1.1 이상을 지원해야 한다.
REST 혹은 GraphQL 기반으로 작성되어야 한다.
OpenAPI 형식의 스펙문서를 제공해야 한다.
통합테스트를 구축하고 자동화해야 한다.
- Postman
- lightweight-rest-tester

신뢰할 수 있는 서비스간의 인가(Inter-Service Authorization)

마이크로서비스를 운영하다보면 내부 서버간, 즉 신뢰할 수 있는 서버간의 API 통신이 필요한 상황이 발생한다. 이 때 인가는 JWT(JSON Web Tokens)를 통해 이루어져야 하며, 사용되는 토큰은 아래의 조건을 만족해야 한다.

iss(발급자)와 aud(수신자)에 서비스명 입력
- 서비스명은 사전에 약속된 문자열을 사용
- 서비스명은 kebab-case로 표기
- sub(주제)는 필요에 따라 선택적으로 사용
RS256(RSA Signature with SHA-256) 알고리즘으로 서명
- iss에 따라 구분되는 비대칭키를 사용
- 토큰의 서명에는 iss의 비밀키를, 토큰의 검증에는 사전에 aud측으로 전달된 iss의 공개키를 사용
exp(만료시간)를 반드시 포함
- nbf, iat 및 leeway는 선택적으로 사용
Authorization헤더의 Bearer 토큰으로 전달

예) 구매목록 서비스에서 책 서비스의 API를 호출하는 경우

{ // header
  "typ": "JWT",
  "alg": "RS256"
}
{ // payload
  "iss": "library",
  "aud": "book",
  "exp": 1531819973
}

내부 서비스간의 SSO

마이크로서비스 환경에서 최종사용자의 SSO(Single Sign-On)를 지원하기 위해 OAuth2를 사용한다. 이 때 access token은 JWT(JSON Web Tokens) 형태로 발급되며, 사용되는 토큰은 아래의 조건을 만족해야 한다.

ES256(ECDSA using P-256 curve and SHA-256) 혹은 RS256(RSA Signature with SHA-256) 으로 서명
- 리소스 서버들은 RS256 및 ES256 알고리즘을 지원해야 한다.
아래의 claim들이 payload에 제공되어야 함
- u_idx: 리소스 소유자의 고유 식별자(user_idx)
- sub: 리소스 소유자의 리디북스 ID
  - u_idx가 있으면 sub은 무시할 수 있다.
- exp: 유닉스 시간으로 표현된 토큰 만료시간
- client_id: 사전에 약속된 OAuth2 클라이언트 ID
- scope: 토큰이 허용하는 인가 범위 (공백으로 구분)

예)

{ // header
  "typ": "JWT",
  "alg": "ES256"
}
{ // payload
  "u_idx": 12312233,
  "sub": "antiline",
  "exp": 1518505258,
  "client_id": "**given_client_id**",
  "scope": "all"
}

JWT 서명

RSA 혹은 ECDSA 기반으로 JWT를 서명하는 경우 JSON Web Key Set (JWKS) 형식으로 공개키 집합을 전달한다. JWKS는 키 로테이션을 위한 표준화된 수단을 제공하므로, 기존에 사용하고 있던 PEM 형식의 파일 전달 방식을 대체한다.

JWK 객체는 아래의 조건을 만족해야 한다.

kid(Key ID)는 반드시 작성
kty(Key Type)은 반드시 "RSA" 혹은 "EC"
- kty가 "RSA"인 경우 alg(Algorithm)는 반드시 "RS256"
- kty가 "EC"인 경우 crv(Curve)는 반드시 "P-256"
use(Public Key Use)는 반드시 "sig"

예)

{
  "keys": [{
    "kid":"1234example=",
    "kty":"EC",
    "crv":"P-256",
    "use":"sig",
    "x":"MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4",
    "y":"4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM"
  }, {
    "kid": "5678example=",
    "kty": "RSA",
    "alg": "RS256",
    "use": "sig",
    "e": "AQAB",
    "n": "987654321"
  }]
}

서명하는 측은 키 정보를 담은 JSON 파일을 서버에 업로드하고 해당 URL을 통해 공유한다.
- 예: https://www.googleapis.com/oauth2/v3/certs
서명하는 측은 인증하는 측이 JWK 형식을 지원하는지 사전에 확인해야 한다.
- 지원하지 않는 경우 PEM 형식의 정적 파일을 전달한다.

테스트 환경을 공유하기

MSA 기반의 서비스들은 개발에 필요한 테스트 환경이 원활하게 제공할 수 있어야 하며 아래 규칙을 준수해야 한다.

쿠키 공유를 위해 상위 도메인은 .ridi.io로 설정해야 한다.
공인인증서로 암호화된 HTTPS 프로토콜을 지원해야 한다.
예기치 않은 정보 유출을 방지하기 위해 외부 접근은 차단해야 한다.
- 크롤링을 차단하는 robots.txt 파일도 반드시 추가할 것

테스트 환경은 무중단으로 운영되지 않을 수 있으므로 사전에 이용을 협의하는 것을 원칙으로 한다.