김영한님의 모든 개발자를 위한 HTTP 웹 기본 지식 강의를 듣고 정리했습니다.

(1) HTTP 상태 코드란?

상태 코드

• 클라이언트가 보낸 요청의 처리 상태를 응답에서 알려주는 기능, 응답 메시지의 start-line에 표시한다.
• 1xx (Informational): 요청이 수신되어 처리중, 거의 사용하지 않음
• 2xx (Successful): 요청 정상 처리
• 3xx (Redirection): 요청을 완료하려면 추가 행동이 필요
• 4xx (Client Error): 클라이언트 오류, 잘못된 문법등으로 서버가 요청을 수행할 수 없음
• 5xx (Server Error): 서버 오류, 서버가 정상 요청을 처리하지 못함

알 수 없는 상태코드를 만나면

• 클라이언트가 인식할 수 없는 상태코드를 서버가 반환하면, 클라이언트는 상위 상태코드로 해석해서 처리한다.
• 미래에 새로운 상태 코드가 추가되어도 클라이언트를 변경하지 않아도 된다.
• 예)
  • 299 ??? -> 2xx (Successful), 200대는 요청이 정상적으로 처리되었다는 상태 코드
  • 451 ??? -> 4xx (Client Error), 300대는 클라이언트에 오류가 있다는 상태 코드
  • 599 ??? -> 5xx (Server Error), 400대는 서버에 오류가 있다는 상태 코드

(2) 2xx - 성공

2xx (Successful)

• 클라이언트의 요청을 성공적으로 처리
• 200 OK
• 201 Created
• 202 Accepted
• 204 No Content

200 OK

• 클라이언트의 요청을 성공적으로 처리했다는 상태 코드

201 Created

• 요청 성공해서 새로운 리소스가 생성되었다는 상태 코드
• 생성된 리소스는 응답의 Location 헤더 필드로 식별

202 Accepted

• 요청이 접수되었으나 처리가 완료되지 않았다는 상태 코드
• 배치 처리 같은 곳에서 사용한다.
  • 예) 요청 접수 후 1시간 뒤에 배치 프로세스가 요청을 처리하는 경우

204 No Content

• 서버가 요청을 성공적으로 수행했지만, 응답 페이로드 본문에 보낼 데이터가 없는 경우의 상태 코드
• 예) 웹 문서 편집기에서 save 버튼은 클라이언트에서 save 버튼을 눌렀을 때 저장은 완료되었지만 그 결과로 아무런 응답이 없다. 그냥 같은 화면을 유지한다. 이런 경우 204를 리턴한다.
• 결과 내용이 없어도 204 메시지만으로 성공을 인식할 수 있다.

(3) 3xx - 리다이렉션1

3xx (Redirection)

• 요청을 완료료하기 위해 유저 에이전트(주로 웹 브라우저)의 추가 조치 필요
• 300 Multiple Choices
• 301 Moved Permanently
• 302 Found
• 303 See Other
• 304 Not Modified
• 307 Temporary Redirect
• 308 Permanent Redirect

리다이렉션 이해

• 웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 위치로 자동 이동한다. 이를 리다이렉트라 한다.

자동 리다이렉트 흐름

• 어떤 페이지가 있는데, 더이상 그 경로를 사용하지 않고 새로운 경로를 쓴다고 가정한다. 기존에 공유되었던 URL로 접속을 시도하면 자동으로 새로운 URL로 이동하도록 301 응답 코드를 보낸다.

종류

• 영구 리다이렉션 - 특정 리소스의 URI가 영구적으로 이동
  • 예) /members → /users
  • 예) /event → /new-event
• 일시 리다이렉션 - 일시적인 변경
  • 주문 완료 후 주문 내역 화면으로 이동
  • PRG: Post/Redirect/Get
• 특수 리다이렉션
  • 결과 대신 캐시를 사용

영구 리다이렉션

• 301, 308: 리소스의 URI가 영구적으로 이동되었다는 의미
• 원래의 URL를 사용하지 않는다. 검색 엔진 등에서도 변경을 인지한다.

301 Moved Permanently

• 리다이렉트시 요청 메서드가 GET으로 변하고, 본문이 제거될 수도 있다.

308 Permanent Redirect

• 301과 기능은 동일하다.
• 리다이렉트시 요청 메서드와 본문을 유지한다. 예를 들어, 처음에 POST를 보냈다면 리다이렉트로 POST를 유지하고 메시지가 존재할 경우 메시지도 유지한다.

(4) 3xx - 리다이렉션2

일시적인 리다이렉션

• 리소스의 URI가 일시적으로 변경된다면 검색 엔진 등에서 URL을 변경하면 안된다.

302 Found

• 리다이렉트시 요청 메서드가 GET으로 변하고, 본문이 제거될 수 있다. (MAY)

307 Temporary Redirect

• 302와 기능은 같다.
• 리다이렉트시 요청 메서드와 본문을 유지한다. (요청 메서드를 변경하면 안된다. MUST NOT)

303 See Other

• 302와 기능은 같다.
• 리다이렉트시 요청 메서드가 GET으로 변경된다.

PRG: Post/Redirect/Get

일시적인 리다이렉션 예시

• POST로 주문 후 웹 브라우저를 새로고침 한다면?
  • 새로고침은 다시 요청하는 것이다. 따라서 회원은 중복해서 주문을 하려는 의도가 아니었지만, 중복 주문이 될 수 있다. 원칙적으로는 같은 주문 번호로 동일한 요청이 발생하면 중복 주문이 되지 않도록 서버에서 막아야 한다.

• POST로 주문 후 새로 고침으로 인한 중복 주문 방지하려면, POST로 주문 후에 주문 결과 화면을 GET 메서드로 리다이렉트한다.
  • 새로고침을 해도 결과 화면을 GET으로 조회한다.
  • 중복 주문 대신에 결과 화면만 GET으로 다시 요청한다.
• PRG 이후 리다이렉트
  • URL이 이미 POST → GET으로 리다이렉트 된 상태이다.
  • 새로고침 해도 GET으로 결과 화면만 조회한다.

302, 307, 303에 관하여

역사

• 처음 302 스펙의 의도는 HTTP 메서드를 유지하는 것이었다.
• 그런데 웹 브라우저들이 대부분 GET으로 바꾸어 버린다. 일부를 다르게 동작한다.
• 그래서 모호한 302를 대신하는 명확한 307, 303이 등장했다. (301 대응으로 308 등장)

현실

• 307, 303을 권장하지만 현실적으로 이미 많은 애플리케이션 라이브러리들이 302를 기본 값으로 사용한다.
• 자동 리다이렉션시에 GET으로 변해도 되면 그냥 302를 사용해도 큰 문제가 없다.

기타 리다이렉션

300, 304

• 300 Multiple Choices: 사용하지 않는다.
• 304 Not Modified
• 캐시를 목적으로 사용한다.
• 클라이언트에세 리소스가 수정되지 않았음을 알려준다.따라서 클라이언트는 로컬 PC에 저장된 캐시를 사용한다. (캐시로 리다이렉트 한다.)
• 304 응답은 응답에 메시지 바디를 포함하면 안된다. 로컬 캐시를 사용한다.
• 조건부 GET, HEAD 요청시 사용한다.

(5) 4xx - 클라이언트 오류, 5xx - 서버 오류

4xx (Client Error)

클라이언트 오류

• 클라이언트의 요청에 잘못된 문법 등으로 서버가 요청을 수행할 수 없음을 의미한다.
• 오류의 원인이 클라이언트에 있음!
• 중요! 클라이언트가 이미 잘못된 요청, 데이터를 보내고 있기 때문에, 똑같은 재시도를 해도 무조건 실패한다. 같은 요청을 요청이 성공할 가능성이 없다. 요청을 수정해서 보내야 한다.

400 Bad Reque

클라이언트가 잘못된 요청을 해서 서버가 요청을 처리할 수 없다

• 요청 구문, 메시지 등등의 오류
• 클라이언트는 요청 내용을 다시 검토하고 보내야 한다.
• 예) 요청 파라미터가 잘못되거나, API 스펙이 맞지 않을 때

401 Unauthorized

클라이언트가 해당 리소스에 대한 인증이 필요하다

• 인증(Authentication)되지 않은 상태임을 의미한다.
• 401 오류 발생시 응답에 WWW-Authenticate 헤더와 함께 인증 방법을 설명해야 한다.
• 참고
  • 인증(Authentication): 본인이 누구인지 확인 → 로그인
  • 인가(Authorization): 권한부여 → ADMIN 권한처럼 특정 리소스에 접근할 수 있는 권한, 인증이 있어야 인가가 있음
• 401 상태코드는 오류 메시지가 Unauthorized 이지만 인증 되지 않음(로그인이 되지 않음)을 나타내는 것이다. Unauthenticated가 더 명확한 이름이다.

403 Forbidden

서버가 요청을 이해했지만 승인을 거부함

• 주로 인증 자격 증명은 있지만, 접근 권한이 불충분한 경우에 발생하는 오류이다.
• 예) 어드민 등급이 아닌 사용자가 로그인은 정상적으로 했지만, 어드민 등급의 리소스에 접근하는 경우

404 Not Found

요청 리소스를 찾을 수 없음

• 요청 리소스가 서버에 없음을 나타낸다.
• 또는 클라이언트가 권한이 부족한 리소스에 접근하려 하는데, 해당 리소스를 숨기고자 할 때 404 코드를 사용한다.

5xx (Server Error)

서버 오류

• 서버 문제로 오류가 발생할 때 500번대 코드를 리턴한다.
• 서버에 문제가 있기 때문에 재시도하면 성공할 수도 있다. (서버가 복구되거나 하는 상황)
• 예) NullPointerException, DB에 일시적으로 접근이 불가한 상황
• 500대 에러는 웬만하면 만들면 안된다. 정말 심각한 서버의 오류만 500대 에러로 처리한다.
  • 예) 20세 이상의 서비스에 15세가 로그인을 시도한다면, 비즈니스 로직의 예외 케이스이기 때문에 500번대 에러로 해결하면 안된다.

500 Internal Server Error

서버 문제로 오류 발생, 애매하면 500 오류

• 서버 내부 문제로 오류 발생했음을 의미한다.
• 애매하면 500 오류

503 Service Unavailable

서비스 이용 불가

• 서버가 일시적인 과부하 또는 예정된 작업으로 잠시 요청을 처리할 수 없음을 의미한다.
• Retry-After 헤더 필드로 얼마뒤에 복구되는지 보낼 수도 있다.