HTTP 상태코드

해당 게시글은 모든 개발자를 위한 HTTP 웹 기본 지식을 수강하며 정리한 내용입니다.
 

🚀 HTTP 상태코드 소개

클라이언트가 보낸 요청의 처리 상태를 응답에서 알려주는 기능

• 1xx(Informational): 요청이 수신되어 처리 중
• 2xx(Successful): 요청 정상 처리
• 3xx(Redirection): 요청을 완료하려면 추가 행동이 필요
• 4xx(Client Error): 클라이언트 오류, 잘못된 문법 등으로 서버가 요청을 수행할 수 없음
• 5xx(Server Error): 서버 오류, 서버가 정상 요청을 처리하지 못함

 
만약, 클라이언트가 인식할 수 없는 상태코드를 서버가 반환한다면?
👉 클라이언트는 상위 상태코드로 해석해서 처리한다.
ex) 299 ▶ 2xx로 생각하고 처리한다.
 

🚀 1xx - 요청이 수신되어 처리 중

거의 사용되지 않는다.
 

🚀 2xx - 성공

200 OK

• 가장 많이 보는 응답 메시지
• GET과 같은 조회 요청에 대해 성공적으로 처리해서 응답했을 때 해당 상태코드를 반환

 

201 Created

• 요청을 성공해서 새로운 리소스가 생성된 경우

 

202 Accepted

• 요청이 접수되었으나, 처리가 완료되지 않은 경우
• 배치 처리 같은 곳에서 사용한다.
• ex) 요청 접수 후 1시간 뒤에 배치 프로세스가 요청을 처리함

 

204 No Content

• 서버가 요청을 성공적으로 수행했지만, 응답 페이로드 본문에 보낼 데이터가 없는 경우
• ex) 웹 문서 편집기에서 save 버튼 ▶ save 버튼의 결과로 아무 내용이 없어도 되고, 같은 화면을 유지해야 한다.
• 결과 내용이 없어도 204 메시지(2xx)만으로 성공을 인식할 수 있다.

 
위에 언급한 모든 상태코드를 실무에서 사용하는 것은 아니며,
200만 사용하거나 200, 201 정도만 사용하는 곳도 있다.
개발 단계에서 실무진들과 함께 논의되어야 할 부분!
 

🚀 3xx - 리다이렉션

요청을 완료하기 위해 유저 에이전트(ex. 웹 브라우저) 추가 조치가 필요한 경우
웹 브라우저는 3xx 응답의 결과에 Location 헤더가 있으면, Location 헤더 위치로 자동 이동 (리다이렉트)
 

자동 리다이렉트 흐름

• 클라이언트에서 /event 를 요청
• 서버는 이제 /new-event 로 경로가 변경되었다고 응답
• 클라이언트에서는 자동 리다이렉트를 Location에 있는 /new-event 로 수행
• 서버는 요청받은 경로인 /new-event 에 대해서 정상 응답

 

리다이렉션 이해

종류

• 영구 리다이렉션
  • 특정 리소스의 URI가 영구적으로 이동
    • ex) /members ▶ /users
    • ex) /event ▶ /new-event
• 일시 리다이렉션
  • 일시적인 변경
    • ex) 주문 완료 후, 주문 내역 화면으로 이동
  • PRG: POST/Redirect/GET
• 특수 리다이렉션
  • 결과 대신 캐시를 사용

 

영구 리다이렉션: 301, 308

• 리소스의 URI가 영구적으로 이동
• 원래의 URL을 사용하지 않는다. 검색 엔진 등에서도 변경 인지
• 301 Moved Permanently
  • 리다이렉트 시 요청 메서드가 GET으로 변하고, 본문이 제거될 수 있음(거의)

• 308 Permanent Redirect
  • 301과 같은 기능을 한다.
  • 리다이렉트 시 요청 메서드와 본문을 유지(처음 POST를 보내면, 리다이렉트도 POST를 유지)

 
📢 실무에서는 경로가 바뀌면서 리다이렉션을 하는 경우, POST 사용을 유지할 필요가 없는 경우가 많다. 페이지가 바뀌면서 필요한 파라미터 등이 바뀌기 때문이다. 따라서, 대부분 308보다는 301을 많이 사용한다.
 

일시 리다이렉션: 302, 307, 303

• 리소스의 URI가 일시적으로 변경
• 따라서, 검색 엔진 등에서 URL를 변경하면 안 됨(다음에 어떻게 될지 모른다...)
• 302 Found
  • 리다이렉트 시 요청 메서드가 GET으로 변하고, 본문이 제거될 수 있음(거의)
  • 301 Moved Permanently와 동일
  • 처음 스펙을 만들 때에는 POST를 보내면, 리다이렉트도 POST를 유지하는 것이었으나...
  • 이 스펙이 명확하게 작성되어있지 않아, 브라우저들을 구현할 때 GET으로 바꿔 보내도록 했다(브바브).
  • 그래서 307과 303이 나왔다.

• 307 Temporary Redirect
  • 302와 기능은 같음
  • 리다이렉트 시 요청 메서드와 본문을 유지(요청 메서드를 절대 변경하면 안 됨)

• 303 See Other
  • 302와 기능은 같음
  • 리다이렉트 시 요청 메서드가 GET으로 변경

 

PRG: POST/Redirect/GET

• PRG를 사용하지 않는 일반적인 리다이렉션
  • POST로 주문 후에 웹 브라이저를 새로고침 하면?
  • 새로고침은 다시 요청하는 것...
  • 중복 주문이 될 수 있다!
• PRG 사용 후
  • POST로 주문 후에 새로 고침으로 인한 중복 주문 방지
  • POST로 주문 후에 주문 결과화면을 GET 메서드로 리다이렉트
  • 새로고침해도 결과화면을 GET으로 조회
  • 중복 주문 대신에 결과화면만 GET으로 다시 요청 

 

PRG 사용 후 리다이렉트에서는, URL이 이미 POST에서 GET으로 리다이렉트되고 새로고침해도 GET으로 결과 화면만 조회되는 것을 알 수 있다.

 

그래서 302, 307, 303 중 무엇을 사용해야 하나요?

잠깐 정리!

• 302 Found ▶ GET으로 변할 수 있음
• 307 Temporary Redirect ▶ 메서드가 변하면 안 됨
• 303 See Other ▶메서드가 GET으로 변경

 
역사...

• 처음 302 스펙의 의도는 HTTP 메서드를 유지하는 것이었다.
• 그러나 웹 브라우저들이 대부분 GET으로 바꾸어버림(일부는 다르게 동작)
• 그래서 모호한 302를 대신하는 명확한 307, 303이 두둥 등장!(301 대응으로 308도 등장)

 
현실...

• 307과 303 상용을 권장하지만, 이미 많은 애플리케이션 라이브러리들이 302를 기본값으로 사용
• 자동 리다이렉션 시에 GET으로 변해도 되면, 302를 사용해도 별 문제가 되지 않는다.

 

기타 리다이렉션: 300, 304

• 300 Multiple Choices
  • 사용하지 않는다.
• 304 Not Modifier
  • 캐시를 목적으로 사용
  • 클라이언트가 서버에게 리소스를 요청했으나, 서버는 클라이언트에게 리소스가 수정되지 않았음을 알린다.
  • 따라서, 클라이언트는 로컬 PC에 저장된 캐시를 재사용한다(캐시로 리다이렉트 한다).
  • 클라이언트가 로컬 캐시를 재사용하도록 해야 하므로, 304 응답은 응답에 메시지 바디를 포함하면 안 된다.
  • 조건부 GET, HEAD 요청 시 사용

 

🚀 4xx - 클라이언트 오류

• 클라이언트의 요청에 잘못된 문법 등으로 서버가 요청을 수행할 수 없음
• 즉, 오류의 원인이 클라이언트에 있음
• 중요! 클라이언트가 이미 잘못된 요청, 데이터를 보내고 있기 때문에 똑같은 재시도가 실패함

 

400 Bad Request

• 클라이언트가 잘못된 요청을 해서 서버가 요청을 처리할 수 없는 에러
• 요청 구문, 메시지 등등에서 문제가 있을 때 발생
• 클라이언트는 요청 내용을 재검투하고, 수정해서 보내야 한다.
• ex) 요청 파라미터가 잘못되거나, API 스펙이 맞지 않을 때
• 서버단에서 스펙에 안 맞는 요청이 오면 철저하게 검증해서 400 상태 코드를 반환하고, 해당 케이스에 500 에러의 서버 문제로 넘어가지 않아야 한다.

 

401 Unauthorized

• 클라이언트가 해당 리소스에 대한 인증이 필요한 경우 발생
• 인증(Authentication)되지 않음
• 401 오류 발생 시 응답에 WWW-Authenticate 헤더와 함께 인증 방법을 설명
• 참고
  • 인증(Authentication): 본인이 누구인지 확인(로그인)
  • 인가(Authorization): 권한 부여(ADMIN 권한처럼 특정 리소스에 접근할 수 있는 권한으로 인증이 있어야 인가가 있음)
• 여기선 오류 메시지가 Unauthorized이지만 인가가 아닌 인증되지 않음이라는 뜻(이름이 아쉽다!)

 

403 Forbidden

• 서버가 요청을 이해는 했지만 승인을 거부함
• 주로 인증 자격 증명은 있지만, 접근 권한이 불충분한 경우
• ex) ADMIN 권한이 아닌 사용자가 로그인은 했지만, ADMIN 권한만 사용할 수 있는 리소스에 접근하려는 경우

 

404 Not Found

• 요청 리소스가 서버에 없음
• 요청 리소스를 찾을 수 없음
• 또는 클라이언트가 권한이 부족한 리소스에 접근할 때, 해당 리소스를 숨기고자 한다면 사용

 

🚀 5xx - 서버 오류

• 서버에서 오류가 발생했을 때 반환되는 상태 코드
• 서버 문제로 오류가 발생
• 서버에 문제가 있기 때문에, 클라이언트가 실패했을지라도 나중에 똑같은 요청을 재시도하면 성공할 수도 있음(복구가 된 경우 등등...)

 

500 Internal Server Error

• 서버 내부 문제로 오류가 발생한 경우
• 애매하면 500 오류

 

503 Service Unavailable

• 서비스 이용 불가
• 서버가 일시적인 과부하 또는 예정된 작업으로 잠시 요청을 처리할 수 없음
• Retry-After 헤더 필드로 얼마 뒤에 복구되는지 보낼 수도 있음

 

⚠️ 주의사항

• 진짜 이거는 서버가 문제가 생겼다!!! 했을 때만 5xx 에러를 만들어야 한다.
• 예를 들어, 고객이 만 19세 이상이어야 주문을 할 수 있는데, 만 19세 이상이 아니다...
  • 이런 경우는 5xx 에러로 만들면 안 된다.
  • 이는 비즈니스 로직상 예외처리로 처리할 수 있다.
• 정말 정말 정말 심각한 오류일 때만 5xx 오류로 만들어야 한다.
• 4xx, 2xx로 해결하도록 하자.

 

🔥 고양이 & 강아지 상태 코드 출처

HTTP Cats

100 Continue - HTTP status code and dogs!