API 엔드포인트란 무엇인가요?

API는 소프트웨어 애플리케이션이 서로 통신하여 데이터, 특징 및 기능을 교환할 수 있도록 하는 중개자입니다. 이는 요청을 하는 소프트웨어인 API 클라이언트가 데이터 및 기능에 액세스하기 위해 서버와 통신하는 방법을 정의하는 일련의 프로토콜과 규칙입니다. 개발자는 API를 사용하여 이미 존재하는 데이터와 서비스를 활용할 수 있습니다. 또한 애플리케이션 소유자는 동일한 데이터 및 서비스를 공유하거나 마케팅할 수 있습니다. 

엔드포인트는 전화번호와 비슷하게 기능합니다. 사용자가 특정 개인이나 기업에 연락하기 위해 전화번호로 전화를 거는 것처럼, API 클라이언트(API를 호출하는 소프트웨어)는 특정 리소스에 도달하기 위한 엔드포인트 URL을 제공합니다. 엔드포인트 URL은 API 서버에서 리소스의 위치를 제공하고 API 클라이언트를 요청하는 리소스와 연결하는 데 도움이 됩니다. 이는 기본적으로 서버에 "필요한 리소스가 여기에 있습니다."라고 알려줍니다.

API 엔드포인트를 사용하면 API 클라이언트가 소셜 미디어 소프트웨어 애플리케이션의 실시간 업데이트부터 오디오 또는 비디오 임베딩, 뉴스 기사 검색 또는 새 게시물 생성과 같은 기능에 이르기까지 다양한 사용 사례와 함께 API에서 모든 종류의 데이터를 요청할 수 있습니다. 

적절하게 형식화되고 안전한 API 엔드포인트는 API가 작동하는 방식에서 매우 중요한 부분입니다. API는 개발자가 기존 기능 및 서비스를 기반으로 구축할 수 있게 해주기 때문에 새로운 애플리케이션 및 서비스의 설계 및 개발과 기존 애플리케이션의 통합 및 관리를 간소화합니다. 또한 개발자와 조직 전체에 협업 개선, 혁신 가속화, 민첩성, 확장성, 보안 향상 등 상당한 이점을 제공합니다. API 엔드포인트는 이러한 통합을 가능하게 하는 리소스 교환을 지원합니다.

API가 제대로 작동하려면 API 엔드포인트가 정확하고 직관적이며 검색 가능하고 인증되어야 하며, 그렇지 않으면 클라이언트와 서버 간의 통신이 중단되어 기능 및 사용자 만족도가 저하될 수 있습니다. 간단히 말해, API 엔드포인트를 사용하면 API 클라이언트가 요청된 리소스 및 기능을 성공적으로 찾아 액세스할 수 있습니다.

API 엔드포인트는 일반적으로 API 설명서에서 찾을 수 있으며, 개발자는 여기에서 API가 수락할 요청 유형 및 요청 형식 지정 방법과 같은 API 정보를 입력합니다. 이상적으로 이 설명서에는 사용 가능한 모든 API 엔드포인트 목록과 해당 기능에 대한 간단한 설명도 포함되어 있습니다.

웹 애플리케이션에 자주 사용되는 소프트웨어 아키텍처 스타일인 REST API 컨텍스트에서는 다음과 같이 프로세스가 진행됩니다.

이 프로세스는 API 클라이언트가 리소스 요청(API 호출)을 해당 API 엔드포인트로 보내면 시작됩니다. 엔드포인트는 POST, GET, PUT, PATCH 및 DELETE와 같은 HTTP 요청 메서드를 사용하여 액세스됩니다. 이러한 메서드는 클라이언트가 지정된 리소스에 대해 수행하려는 작업을 나타냅니다.

예를 들어, 클라이언트가 가상의 데이터베이스인 Olympicfacts.com에서 특정 연도의 올림픽 메달 총합 목록을 검색하려는 경우, GET 요청이 다음 엔드포인트 URL로 전송됩니다. 

https://api.olympicfacts.com/v1/{year}

이 요청은 국가별 올림픽 메달 총합 목록을 반환합니다. (가상 엔드포인트의 v1은 API 버전 관리의 일반적인 관행인 API 버전을 나타냅니다.) 클라이언트가 특정 연도의 특정 국가에 대한 총계를 원하는 경우 식별자가 기본 URL에 추가됩니다. 

https://api.olympicfacts.com/v1/year/{id}

이 예에서 식별자 {id}는 클라이언트가 정보를 수신하려는 국가를 나타내는 데 사용됩니다.

또한 요청에는 다음이 포함될 수 있습니다.

• 헤더: 헤더는 허용되는 미디어 유형을 지정하는 Accept 헤더와 같은 요청에 대한 추가 정보를 제공할 수 있습니다.
  
  
• 매개 변수: 쿼리 매개 변수를 기본 URL 또는 요청 본문에 추가하여 검색 조건을 추가로 필터링하거나 다른 사양을 추가할 수 있습니다.
  
  
• 요청 본문: 요청 본문에는 리소스를 만들거나 수정하는 데 필요한 데이터가 포함됩니다. 예를 들어 새 블로그를 만들라는 요청(POST 요청)인 경우 새 블로그의 콘텐츠가 요청 본문에 포함됩니다.
  

서버가 요청을 인증하고 입력의 유효성을 검사하면 요청된 데이터를 검색하고 클라이언트에 응답을 반환합니다. 많은 조직에서 API Gateway를 사용하여 이러한 기능을 실행하고 API 트래픽 흐름을 관리합니다.

REST API(RESTful API 또는 RESTful 웹 API라고도 함)는 표현 상태 전송(REST) 아키텍처 스타일의 설계 원칙을 준수하는 API입니다.¹ GraphQL은 클라이언트가 API와 상호 작용하는 방식을 지정하는 오픈 소스 쿼리 언어이자 서버 측 런타임입니다.²

GraphQL과 REST는 모두 유사한 데이터 형식(예: JSON 및 XML)을 지원하고 클라이언트가 HTTP 메서드를 사용하여 서버에서 데이터를 요청할 수 있도록 하는 리소스 기반 기술입니다. 그러나 요청 요구 사항과 데이터 검색 등의 차이점이 있습니다. 엔드포인트와 관련된 주요 차이점에 대해 집중적으로 살펴보겠습니다.

REST API는 여러 엔드포인트를 사용하며 각 리소스에 대해 서로 다른 엔드포인트를 갖습니다. 클라이언트가 리소스를 요청하면 서버는 클라이언트가 데이터의 작은 하위 집합만 필요한 경우에도 리소스와 연결된 모든 데이터를 반환합니다. 이를 오버페치라고 합니다. 클라이언트가 여러 리소스에 분산된 데이터를 필요로 하는 경우 필요한 데이터를 컴파일하기 위해 각 리소스에 대해 별도의 API 호출을 수행해야 합니다.

GraphQL은 단일 엔드포인트를 사용하여 데이터 모델을 노출하고 클라이언트가 한 줄 또는 몇 줄로 API 요청을 할 수 있도록 하는 구문을 사용하여 필요한 것을 정확히 지정할 수 있습니다. GraphQL 쿼리는 리소스 간의 참조를 따르고 단일 요청으로 복잡한 데이터 검색 작업을 수행할 수 있습니다. 이렇게 하면 언더페치 및 오버페치 문제와 여러 API 호출을 수행할 필요성을 제거하는 데 도움이 됩니다.

REST와 GraphQL API 중에 어떤 것이 더 우수하다고는 할 수 없습니다. 이들은 서로 다른 작업에 적합한 서로 다른 도구입니다.³

좋은 API 설계의 핵심은 테스트 단계입니다. 최신 애플리케이션은 API를 사용하여 다른 소프트웨어의 기능을 통합하거나 마이크로서비스 아키텍처(서로 다른 서비스 간의 통신을 위해 API에 의존)를 사용하여 구축되는 경우가 많습니다. API 엔드포인트 테스트는 안정성을 보장하는 데 필수적입니다.

API에 대한 수동 테스트 옵션과 자동화를 사용하는 테스트 옵션뿐만 아니라 기업에서 사용할 수 있는 수많은 테스트 툴 및 플랫폼(오픈 소스 및 독점)이 있습니다.

수동 API 엔드포인트 테스트는 속도가 느리고 효율성이 떨어질 수 있지만 더 정확하고 특정 사용 사례에 맞게 사용자 지정할 수 있습니다. 기능 테스트는 애플리케이션에서 요청을 보내 올바른 응답이 제공되는지 확인하는 것입니다. 소셜 미디어의 예에서 이는 특정 사용자가 새 게시물에 대한 요청을 보내고 반환된 게시물이 실제로 올바른 게시물인지 확인하는 것을 의미할 수 있습니다.

다른 유형의 수동 테스트에는 다음이 포함됩니다. 

• 한 번에 많은 요청을 보내 서버가 요청 부하를 어떻게 처리하는지 확인합니다.
  
  
• API가 다른 서비스와 제대로 통합되는지 확인합니다.
  
  
• 주어진 요청의 속도와 응답 시간을 결정합니다.
  
  
• 올바른 오류 메시지가 반환되는지 확인하기 위해 의도적으로 잘못된 요청을 제공합니다.

API 관리 플랫폼을 통해 수행된 자동화 테스트는 다음과 같은 여러 가지 이점을 제공할 수 있습니다.

• 인적 오류 가능성을 줄입니다.
  
  
• 여러 API 엔드포인트의 유효성을 확인하는 데 더 효율적입니다.
  
  
• 자동화된 테스트 시스템이 구축되면 테스트 속도를 개선하고 장기적으로 비용을 절감할 수 있습니다(예: 직원 시간 절약 등).
  
  
• 일관된 프로토콜, 표준 및 권한에 따라 테스트를 조정합니다.

일반적으로 각각은 형식, 반환된 데이터 및 상태 코드 측면에서 의도한 응답을 반환해야 합니다.

API 엔드포인트는 내부 및 외부 애플리케이션과 시스템 모두가 데이터에 액세스하고 통합할 수 있는 방법을 제공하기 때문에 악의적인 행위자에게 잠재적인 진입점을 제공하기도 합니다. 분산 서비스 거부(DDoS)공격은 합법적인 요청을 사용할 수 있지만 터무니없는 양으로 서버를 폭주시킬 수 있습니다. 다른 유형의 공격은 API 엔드포인트를 사용하여 클라이언트가 얻을 수 있는 것보다 더 많은 정보를 추출하거나 API 엔드포인트를 사용하여 맬웨어 또는 악성 코드를 설치하려고 시도할 수 있습니다.

조직이 API 엔드포인트의 보안과 전반적인 API 보안을 유지할 수 있는 방법은 다음과 같습니다.

API 키 인증 및 OAuth와 같은 인증 방법은 권한이 있는 사용자만 데이터에 액세스할 수 있도록 합니다.

HTTPS(하이퍼텍스트 전송 프로토콜 또는 HTTP의 보안 수준이 더 높은 버전)는 전송 계층 보안(TLS)을 사용하여 클라이언트와 서버 간의 통신을 암호화합니다. 이를 통해 데이터 전송의 보안이 강화됩니다.

전송률 제한은 DDoS 공격을 방지하고 시스템 안정성을 유지하는 데 도움이 될 수 있는 최대 요청 수량을 설정하는 노력을 일반적으로 지칭하는 용어입니다. API 엔드포인트마다 다른 제한을 적용할 수도 있습니다.

특정 위치에서 공격이 발생하는 경우 지오필터링을 사용하여 해당 위치에서의 액세스를 차단하거나 제한할 수 있습니다.

API Gateway는 클라이언트 디바이스와 서버 간의 중개자 역할을 하는 소프트웨어 계층입니다. 이는 모든 API 호출을 수락하고 요청된 서비스로 라우팅하는 중심점입니다. API 모니터링 및 분석 기능 외에도 이러한 보안 기능 중 상당수를 API Gateway 내에서 구현할 수 있습니다. 게이트웨이를 사용하면 API 환경 전체에서 보안 프로토콜을 일관되게 적용할 수 있습니다.

API 리소스는 API가 제공하는 데이터 세트 또는 객체입니다. 리소스는 해당 API에 따라 다르지만 콘텐츠 유형에는 텍스트, 표, 소스 파일, 오디오, 비디오, 이미지, 사용자, 제품 등이 포함됩니다.

API 엔드포인트는 서버에서 해당 리소스의 특정 위치입니다. API 클라이언트와 서버 간의 접점으로, API 호출이 전달되는 곳입니다.

매장 운영 정보를 생각해 보세요. 목록에는 매장 위치(엔드포인트)와 매장 영업 시간, 제품 재고(리소스)와 같은 정보를 요청하기 위해 매장에 연락하는 방법이 나와 있습니다.

API 키는 API 호출을 하는 클라이언트의 신원 및 진위를 확인하고 인증하는 방법입니다. API 키는 API 공급자가 등록된 API 사용자에게 발급하는 임의로 생성된 문자열입니다. 클라이언트 디바이스가 API를 호출하면 여기에 API 키가 포함됩니다. 호출을 수신하는 API Gateway 또는 API 서버는 먼저 키를 확인하여 클라이언트의 신원을 확인한 후 API 요청을 처리합니다. 키가 허용된 키와 일치하지 않는 경우 서버는 API 호출을 거부하고 거부 메시지를 발행합니다.

조직은 API 키를 사용하여 개별 클라이언트 및 프로젝트를 인증하고, 트래픽 패턴을 추적 및 식별하고, 원치 않는 사용을 차단하는 등의 작업을 수행합니다.

앞서 설명한 대로 API 엔드포인트는 클라이언트와 서버 간의 인터페이스 역할을 하며, API 클라이언트가 API에서 특정 데이터나 기능을 직접 요청하는 곳입니다. API 키는 기업의 전체 API 환경 및 API 통합의 보안을 개선하는 데 사용할 수 있습니다.