#1 시작
사내 스터디 그룹을 통해서 처음 Clojure를 접한지가 꽤나 흘렀는데도 아무런 진전이 없어 간단하게 자료를 정리하고자 한다.
클로저는 리습의 언어 철학을 따르면서 자바를 그 모태로 채용함으로서 언어적으로 50년에 가까운 역사를 가진 리습 언어의 특징을 따르고 있으면서도 자바 언어의 장점을 그대로 가지고 있는 함수형 언어로서, 클로저는 아래의 기본 철학을 가지고 있다.
함수형 프로그래밍 언어는 애플리케이션내에서 나아가서 언어 자체가 함수처럼 여기도록 만들고 이러한 함수 개념을 가장 우선순위에 놓는다. 이러한 함수는 다른 데이터들과 마찬가지로 저장이 가능하고, 값을 저장하거나 리턴 받을 수도 있다. 이것이 함수형 언어의 가장 중요한 개념이다.
개발 언어들 중 몇몇은 아주 복잡한 설정이나 컴파일 환경등을 가지고 있고 라이브러리 의존성 또한 심각하게 영향을 받는 경우가 흔하다. 또한 개발중에 부수적인 요인들 (병렬처리, 라이브러리 충돌 등)에 의해서 그 복잡성은 더욱 올라가게 된다. 클로저는 이러한 복잡성을 줄이고 순수 함수들을 통해서 개발을 단순화 하고자 한다.
클로저는 자바 가상 머신과 자바 스크립트를 사용하고 있으며 클로저에서는 직접적으로 자바 클래스와 메서드에 접근하는 동일한 바이트코드로 컴파일하는 방식을 사용하였다. 이를 통해 클로저의 문자열은 자바의 문자열과 동일하며 클로저와 클로저스크립트 함수는 자바 네이티브 메서드를 호출한다.
순수 함수를 사용하고 있고 코드에서 발생할 수 있는 다양한 혼란을 예방하고 명료성을 제공하도록 도와 주고 있다.
% 이외에도 다양한 장점이나 특징이 있지만 핵심적인 부분은 위에 다루었으므로 스킵하고자 한다.
특히 Clojure는 자바 라이브러리를 편리하게 사용할 수 있으며 jar, war 등으로도 패키징이 가능하다.
Clojure 언어에 대해서 공부 하고자 하신 분들은 마이클 포거스, 크리스 하우저가 지은 "The Joy of Clojure"를 추천해 드리고자 한다. 기본적인 언어의 내용 부터 상당히 자세한 내용까지 다루어져 있다. 먼저 개발을 시작하기 전에 이 책을 한번 읽은 이후에 시작하시길 권해 드리고 싶다.
http://www.yes24.com/24/goods/24555451?scode=032&OzSrank=3
그리고 본 글은 아래의 Basic Web Development라는 주제의 Clojure 문서를 참고하여 간단한 웹 프로젝트를 개발하는것을 목표로 하였으므로 아래의 링크의 글들을 참고 바란다.
http://clojure-doc.org/articles/tutorials/basic_web_development.html
Leiningen은 clojure를 사용하는데 있어 설정이나 실행등을 자동화 시키는 툴로서 이를 이용하면 편리하게 clojure 개발을 진행할수 있다. 초기 설정이나 템플릿의 자동 생성등 상당히 편리한 기능을 제공한다.
Leiningen 설치를 위해서는 먼저 실행 스크립트를 "/usr/bin" 등 실행 가능 PATH가 걸려있는 곳에 다운로드 하여 위치 시킨 이후 해당 파일의 속성을 실행 가능하도록 변경(chmod a+x ~/bin/lein) 한 다음 실행하면 자동으로 설치가 시작된다.
조금 더 상세한 설치 관련 내용은 위의 링크에 설명되어 있으며 프로젝트의 생성, 테스트, 인터렉티브 모드로의 진입등에 대한 Tutorial도 제공해 주고 있으므로 시작하기 전에 반드시 읽어보면 좋을 것이다.
Leiningen을 통해서 손쉽게 프로젝트를 생성할 수 있다.
#lein new <project-name>
위와 같은 명령어만으로 Clojure 프로젝트와 관련된 폴더 구조와 프로젝트 설정 파일이라고 할수 있는 project.clj가 생성되는것을 볼수 있다.
생성된 폴더를 간단하게 알아 보면
src : 프로젝트의 소스 파일들이 위치
test : 테스트를 위한 소스 파일들이 위치
resources : 설정이나 참고 자료들이 위치
doc : 문서들
이 간단한 과정만으로도 Clojure로 개발할 준비가 완료 되었다고 볼수 있다. 그렇다면 위에서 참조한 기본적인 웹 프로젝트를 여기에 적용해 보자.
상세한 코딩 및 설정은 링크에 적혀 있는대로 코딩을 진행하면 된다.
코딩이후 H2 데이터베이스의 파일이 해당 폴더에 생성될 것이며 아래의 명령어를 통해서 간단하게 개발된 서버를 웹 서버로 동작 하게 할수 있다.
1 Lein을 이용한 실행
#lein ring server
2 java의 jar 패키지로 패키징을 한 이후 실행
#lein ring uberjar
#javar -jar simpleweb.jar
그럼 이제 실제로 접속을 해보면 아래와 같은 화면을 볼수 있다. 별다른 문제 없이 모든 기능이 작동하는걸 볼수 있다.
http://localhost:3000
이제는 Clojure에서 Secure Coding을 위해서 제공되는 기능들에 대해서 알아 보고자 한다. 웹 페이지나 API등을 개발해 놓고 취약점이 있다면 공격자들의 먹잇감으로 전략할 수도 있으므로 이 부분에 대해서 실제 서비스를 개발하는 사람들은 주의 깊게 보아 두는것이 좋다.
CSRF공격을 방어하기 위한 Ring의 미들웨어로서 기본적으로 싱크된 토큰 패턴을 사용한다.
아래의 문장을 :require에 추가
[ring.util.anti-forgery :as util]
페이지를 서비스하는 함수쪽에 아래와 같이 입력하여 사용
[:form {:action "/decode" :method "POST"}
(util/anti-forgery-field) ; prevents CSRF attacks
[:h2 "SOME "]
해당 옵션을 사용할 경우 실제 소스코드는 아래와 같이 삽입되게 된다.
<input id="__anti-forgery-token" name="__anti-forgery-token" type="hidden" value="rQjTRjfGdyOh4Gk/47cERWDDJ/5Syq6S6rL3TKVTuwd0Gr/TddubeR134rsym8DKmLINcKfuPJviwdp">
만약 토큰이 없는 상태로 해당 페이지를 진입하게 되면 아래와 같은 에러 페이지를 볼수 있다.
CSRF 공격과 대응에 대한 상세한 내용은 아래의 링크를 참고 하기 바란다.
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
상세한 사용법은 아래의 링크를 참고하기 바란다.
https://github.com/ring-clojure/ring-anti-forgery
% 다른 보안 기능에 대해서는 아래의 문서를 첨부하니 참고해 보아도 좋을것 같다. 추가적인 보안 기능의 정리는 앞으로 하나씩 추가해 보고자 한다.
Clojure Security
https://speakerdeck.com/joyclark/clojure-web-security-1
% 위의 프로젝트에 몇가지 기능을 추가해서 코딩한 것을 올려 두었다. 참고 하고 싶은 분들은 참고하시면 좋을것으로 생각된다.
https://github.com/sokoban/simpleweb
Clojure를 이용한 booking.com 연동하여 예약내용 가져오기
https://connect.booking.com/user_guide/site/en-US/res/
https://github.com/onyx-platform/onyx
http://clojure.or.kr/books/clojure-complete/Start/start.html
https://github.com/clojure-cookbook
https://github.com/dakrone/itsy