전체 개발 노트 모아보기

Slim Framework 개요와 PHP 환경 구축 (Composer)

Slim Framework 란?

Slim Framework는 꼭 필요한 기능(라우팅, 미들웨어, 의존성 주입 등)만을 제공하는 경량 PHP 마이크로 프레임워크입니다. 불필요한 코드를 줄이고 가벼운 API 시스템이나 마이크로 서비스를 개발할 때 매우 유용합니다. Composer와 결합하여 현대적이고 모듈화된 PHP 애플리케이션을 구축할 수 있습니다.

모놀리식 프레임워크 vs 마이크로 프레임워크

Composer를 통한 의존성 관리

최신 PHP 개발의 핵심은 Composer입니다. Composer는 프로젝트 단위로 라이브러리(패키지)를 관리해주는 PHP 의존성 관리 도구입니다. Slim Framework 역시 Composer를 통해 설치 및 관리됩니다.

명령어	설명
composer init	프로젝트를 초기화하고 composer.json 파일을 생성합니다.
composer require slim/slim:"4.*"	Slim 프레임워크 패키지를 다운로드하고 의존성에 추가합니다.
composer install	composer.lock 파일을 기반으로 패키지들을 설치합니다 (배포 시).
composer update	모든 패키지를 최신 버전으로 업데이트합니다.

⚠️ 주의: PSR-4 Autoloading

Composer는 `vendor/autoload.php` 파일을 생성하여 PSR-4 표준에 따른 자동 로딩을 지원합니다. 여러분의 PHP 스크립트 최상단에서 이 파일을 가장 먼저 `require` 해야 모든 라이브러리를 사용할 수 있습니다.

Slim Framework 기초 API 실습 시뮬레이션

실제 PHP 환경에서 Slim Framework를 구동하여 /api/hello 엔드포인트를 호출했을 때의 코드를 작성하고 결과를 브라우저에서 확인해 보겠습니다.

      
      index.php
    

<?php
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;
use Slim\Factory\AppFactory;

require __DIR__ . '/vendor/autoload.php';

$app = AppFactory::create();

// 간단한 JSON API 라우트 정의
$app->get('/api/hello', function (Request $request, Response $response, $args) {
    $data = [
        "message" => "Hello from Slim Framework!",
        "status" => 200
    ];
    $response->getBody()->write(json_encode($data, JSON_PRETTY_PRINT));
    return $response->withHeader('Content-Type', 'application/json');
});

$app->run();
?>

localhost:8080/api/hello

{
  "message": "Hello from Slim Framework!",
  "status": 200
}

이처럼 Slim Framework를 활용하면 불필요한 보일러플레이트 코드 없이, 꼭 필요한 라우팅 로직만으로 가벼운 API 서버를 구축할 수 있습니다. 다음 강의에서는 실제 PHP 환경에서 설치하는 과정을 상세히 진행합니다.

첫 번째 Slim 앱 만들기: Hello World

Slim 프레임워크를 사용하여 가장 기초적인 "Hello World" API 서버를 구축해봅니다. Composer를 통한 패키지 설치부터 라우팅 설정, 그리고 클라이언트 요청에 대한 JSON 응답 처리까지 전체 사이클을 경험하게 됩니다.

1. 패키지 설치 (Composer)

먼저 터미널을 열고 프로젝트 폴더를 생성한 후, Slim 프레임워크와 PSR-7 구현체인 Nyholm을 설치합니다.

      
      bash
    

$ mkdir slim-app
$ cd slim-app
$ composer require slim/slim:"4.*"
$ composer require nyholm/psr7 nyholm/psr7-server

2. index.php 작성 (Backend)

설치가 완료되면, 프로젝트 루트 디렉토리에 index.php 파일을 생성하고 아래의 코드를 작성합니다. 이 코드는 클라이언트가 /hello/{이름} 으로 요청을 보냈을 때 JSON 형태로 응답하는 백엔드 서버입니다.

      
      index.php
    

<?php
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;
use Slim\Factory\AppFactory;

// 1. Composer Autoloader 불러오기
require __DIR__ . '/vendor/autoload.php';

// 2. Slim 앱 인스턴스 생성
$app = AppFactory::create();

// 3. 라우팅 정의 (GET /hello/{name})
$app->get('/hello/{name}', function (Request $request, Response $response, array $args) {
    $name = $args['name'];
    $data = array('message' => "Hello, $name!");
    
    // 배열을 JSON 문자열로 변환하여 응답 본문에 작성
    $response->getBody()->write(json_encode($data, JSON_PRETTY_PRINT));
    
    // JSON Content-Type 헤더와 함께 200 OK 응답 반환
    return $response
            ->withHeader('Content-Type', 'application/json')
            ->withStatus(200);
});

// 4. 앱 실행
$app->run();
?>

localhost:8080/hello/Developer

{
  "message": "Hello, Developer!"
}

💡 PHP 내장 서버로 실행하기

코드를 모두 작성했다면, 터미널에서 php -S localhost:8080 명령어를 실행하여 개발용 내장 웹 서버를 띄울 수 있습니다. 그 다음 브라우저에서 http://localhost:8080/hello/Developer 로 접속하여 결과를 확인해보세요.

환경 변수 관리 (.env) 분리

데이터베이스 비밀번호, 외부 API 키 등 소스 코드에 절대 포함되어서는 안 되는 민감한 정보들을 별도의 .env 파일로 안전하게 분리하는 방법을 배웁니다. 보안의 가장 기초적이고 핵심적인 과정입니다.

1. 패키지 설치 (vlucas/phpdotenv)

PHP 생태계에서 환경 변수 관리를 위해 가장 널리 쓰이는 표준 패키지인 vlucas/phpdotenv를 설치합니다.

      
      bash
    

$ composer require vlucas/phpdotenv

🚨 매우 중요: .gitignore 설정

.env 파일은 절대로 Git(GitHub 등)에 커밋되어서는 안 됩니다. 소스 코드를 공유할 때는 항상 .gitignore 파일에 .env를 명시하여 실수로 업로드되는 대참사를 막아야 합니다.

2. .env 파일 및 적용 방법

루트 디렉토리에 .env 파일을 생성하고 민감한 데이터를 작성합니다. 이후 PHP 코드 상단에서 Dotenv를 초기화하면, 글로벌 변수 $_ENV를 통해 어디서든 안전하게 접근할 수 있습니다.

      
      .env
    

DB_HOST=127.0.0.1
DB_PORT=3306
DB_NAME=minstudio_db
DB_USER=root
DB_PASS=super_secret_password
API_KEY=sk_live_123456789

      
      index.php
    

<?php
require __DIR__ . '/vendor/autoload.php';

// Dotenv 라이브러리를 통해 현재 디렉토리의 .env 파일을 불러옴
$dotenv = Dotenv\Dotenv::createImmutable(__DIR__);
$dotenv->load();

// 하드코딩 없이 안전하게 환경 변수 접근
$db_host = $_ENV['DB_HOST'];
$db_user = $_ENV['DB_USER'];
$api_key = $_ENV['API_KEY'];

echo "DB Host: " . $db_host . "\n";
echo "DB User: " . $db_user . "\n";
echo "API Key Length: " . strlen($api_key) . " bytes\n";
echo "보안 설정 로드 완료!";
?>

Terminal

$ php index.php
DB Host: 127.0.0.1
DB User: root
API Key Length: 17 bytes
보안 설정 로드 완료!

HTTP 요청(Request)과 응답(Response)

Slim Framework의 핵심은 PSR-7 HTTP 메시지 인터페이스를 준수한다는 점입니다. 클라이언트가 보내는 모든 데이터(Request)와 서버가 반환하는 데이터(Response)는 이 표준 객체들을 통해 일관성 있게 처리됩니다.

1. Request(요청) 객체 다루기

클라이언트가 전송한 쿼리 스트링, 폼 데이터, JSON Body 등을 읽는 방법입니다.

메서드	설명
$request->getQueryParams()	URL 쿼리 스트링(?key=val)을 배열로 반환
$request->getParsedBody()	POST로 전송된 JSON 바디나 폼 데이터를 배열/객체로 자동 파싱
$request->getHeaderLine('Authorization')	특정 HTTP 헤더 값을 문자열로 반환

2. Response(응답) 객체 다루기

서버가 클라이언트에게 응답할 데이터를 조립합니다. API 환경에서는 보통 배열을 JSON 문자열로 변환(json_encode)하여 Body에 기록합니다.

      
      index.php
    

<?php
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;

$app->post('/api/users', function (Request $request, Response $response) {
    // 1. 요청 데이터 파싱 (JSON 또는 Form Data)
    $data = $request->getParsedBody();
    
    // 2. 응답 페이로드 생성
    $payload = json_encode([
        'status' => 'success',
        'message' => "{$data['name']}님이 등록되었습니다."
    ], JSON_UNESCAPED_UNICODE | JSON_PRETTY_PRINT);

    // 3. 바디에 기록하고 헤더 및 상태코드 설정
    $response->getBody()->write($payload);
    
    return $response
            ->withHeader('Content-Type', 'application/json')
            ->withStatus(201);
});
?>

POST localhost:8080/api/users

Request Body: { "name": "김개발" }
Status: 201 Created

{
  "status": "success",
  "message": "김개발님이 등록되었습니다."
}

💡 PSR-7 객체는 Immutable(불변)입니다!

withStatus()나 withHeader() 메서드를 호출하면 원본 객체가 변경되는 것이 아니라 새로운 속성이 적용된 새 복사본이 반환됩니다. 체이닝(Chaining)을 통해 변경된 객체를 반드시 return 해야 정상적으로 작동합니다.

API 응답 확인

위의 코드 블록에서 클라이언트가 서버로 POST 데이터를 전송하고, 서버가 파싱 후 JSON 응답(201 Created)을 성공적으로 반환하는 과정을 확인할 수 있습니다.

라우팅: 동적 파라미터와 그룹화

Slim Framework의 라우터는 매우 강력합니다. URL의 특정 부분을 변수처럼 받아오는 동적 파라미터와, 공통된 URL 접두사나 미들웨어를 하나로 묶어주는 라우트 그룹화(Grouping) 기능을 통해 깔끔한 API 구조를 설계할 수 있습니다.

1. 동적 파라미터 (Dynamic Parameters)

중괄호 {변수명}를 사용하면 URL 경로의 일부를 파라미터로 받을 수 있습니다. 이 값은 라우트 콜백 함수의 세 번째 인자인 $args 배열로 전달됩니다.

      
      index.php
    

<?php
// 단일 파라미터 예: /users/123 으로 접속 시
$app->get('/users/{id}', function ($request, $response, array $args) {
    $userId = $args['id']; // "123"
    $response->getBody()->write("User ID: " . $userId);
    return $response;
});

// 다중 파라미터 예: /posts/2026/05
$app->get('/posts/{year}/{month}', function ($request, $response, $args) {
    $year = $args['year'];
    $month = $args['month'];
    $response->getBody()->write("Archive: {$year}년 {$month}월");
    return $response;
});
?>

2. 라우트 그룹화 (Route Grouping)

버전이 명시된 API나 특정 도메인(예: /api/v1/...)의 라우트들을 group() 메서드로 묶어서 관리할 수 있습니다. 이를 통해 코드 중복을 줄이고 특정 그룹에만 미들웨어를 쉽게 적용할 수 있습니다.

      
      index.php
    

<?php
use Slim\Routing\RouteCollectorProxy;

$app->group('/api/v1', function (RouteCollectorProxy $group) {
    // 실제 경로는: GET /api/v1/users
    $group->get('/users', function ($request, $response, $args) {
        $response->getBody()->write("유저 목록 반환");
        return $response;
    });

    // 실제 경로는: GET /api/v1/users/{id}
    $group->get('/users/{id}', function ($request, $response, $args) {
        $userId = $args['id'];
        $response->getBody()->write("특정 유저 정보 반환 (ID: $userId)");
        return $response;
    });
});
?>

GET localhost:8080/api/v1/users/4028

특정 유저 정보 반환 (ID: 4028)

💡 정규표현식 패턴 매칭

파라미터에 정규식을 추가하여 {id:[0-9]+} 처럼 숫자만 허용하도록 라우팅 단에서 엄격하게 제한할 수도 있습니다. 정규식에 맞지 않으면 자동으로 404 에러가 발생합니다.

라우팅 결과 확인

위의 결과 화면에서 /api/v1/users/4028 URL로 요청을 보냈을 때, 라우터가 그룹 접두사(/api/v1)와 동적 파라미터(4028)를 모두 정확히 인식하고 파싱하는 과정을 확인할 수 있습니다.

미들웨어(Middleware)의 이해

미들웨어는 HTTP 요청이 애플리케이션의 핵심 로직(라우트 콜백)에 도달하기 전과 후에 특정 코드를 실행할 수 있게 해주는 양파 모양의 레이어(Onion Architecture)입니다. 인증(Authentication), 로깅, CORS 설정 등에 주로 사용됩니다.

1. 미들웨어의 작동 원리

Slim 미들웨어는 Request 객체와 다음 계층으로 넘겨주는 핸들러(RequestHandler)를 받습니다. "요청 가로채기 ➡️ 다음 계층으로 넘기기 ➡️ 응답 가로채기"의 순서로 진행됩니다.

2. 미들웨어 작성 및 적용

인증 토큰(API Key)이 올바른지 검사하는 간단한 보안 미들웨어 예시입니다.

      
      index.php
    

<?php
use Psr\Http\Message\ServerRequestInterface as Request;
use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
use Slim\Psr7\Response;

// 1. 미들웨어 클로저 정의
$authMiddleware = function (Request $request, RequestHandler $handler) {
    // 요청 검문: 헤더에 올바른 토큰이 있는지 확인
    $token = $request->getHeaderLine('Authorization');
    
    if ($token !== 'Bearer secret-token-123') {
        // 검문 실패: 다음 계층으로 넘기지 않고 즉시 에러 응답 반환! (요청 차단)
        $response = new Response();
        $response->getBody()->write(json_encode(['error' => '인증 실패']));
        return $response->withStatus(401)->withHeader('Content-Type', 'application/json');
    }
    
    // 검문 통과: 다음 미들웨어나 최종 애플리케이션 로직으로 진행
    $response = $handler->handle($request);
    
    // 최종 응답을 클라이언트에 보내기 전, 헤더 추가 등의 후처리 가능
    return $response->withHeader('X-Middleware-Passed', 'true');
};

// 2. 미들웨어 적용 (특정 라우트에만 적용)
$app->get('/api/secure-data', function ($request, $response) {
    $response->getBody()->write("보안 데이터에 접근 성공!");
    return $response;
})->add($authMiddleware); // 여기에 미들웨어 장착
?>

GET localhost:8080/api/secure-data

Headers: Authorization: Bearer secret-token-123
Status: 200 OK

보안 데이터에 접근 성공!

⚠️ 주의: 미들웨어 적용 순서 (LIFO)

Slim 프레임워크에서 미들웨어를 여러 개 add() 할 때, 가장 마지막에 추가된 미들웨어가 가장 먼저 실행(LIFO 구조)된다는 점에 각별히 주의해야 합니다!

미들웨어 동작 결과

위의 코드 실행 결과에서 볼 수 있듯, Authorization 헤더에 올바른 토큰을 전송하면 미들웨어 검문을 통과하여 핵심 로직이 실행되고 정상적인 응답(200 OK)을 반환하게 됩니다.

입력 데이터 검증 (Validation)

클라이언트가 서버로 전송하는 데이터는 절대 신뢰해서는 안 됩니다. 데이터 베이스에 저장하기 전이나 핵심 로직을 수행하기 전에 올바른 형식인지 검증(Validation)하는 것은 보안과 안정성을 위해 필수적입니다. PHP 환경에서는 직관적인 API를 제공하는 RespectValidation 라이브러리를 많이 사용합니다.

1. RespectValidation 설치 및 규칙 정의

가장 먼저 컴포저를 통해 라이브러리를 설치합니다. (composer require respect/validation)
설치 후에는 v::email() 처럼 다양한 검증 조건들을 메서드 체이닝으로 연결하여 직관적으로 규칙을 정의할 수 있습니다.

      
      index.php
    

<?php
use Respect\Validation\Validator as v;

// 1. 검증 규칙 객체 생성
$usernameValidator = v::alnum()->noWhitespace()->length(4, 15);
$emailValidator = v::email();

// 2. 단일 필드 검증 실행
if (!$usernameValidator->validate($data['username'])) {
    return respondWithError($response, '유저명은 4~15자의 영문/숫자여야 합니다.');
}
?>

2. 객체/배열 형태의 전체 폼 검증

실무 API에서는 개별 필드를 하나씩 검증하기보다, v::attribute()나 v::key()를 활용해 전체 페이로드 구조를 한 번에 검증하고 오류를 try-catch 블록으로 잡아내는 패턴이 훨씬 깔끔하고 유지보수하기 좋습니다.

      
      index.php
    

<?php
use Respect\Validation\Validator as v;
use Respect\Validation\Exceptions\NestedValidationException;

$app->post('/register', function ($request, $response) {
    $data = $request->getParsedBody();

    // 폼 전체 구조에 대한 규칙 정의
    $formValidator = v::attribute('username', v::stringType()->length(3, 15))
                      ->attribute('email', v::email())
                      ->attribute('age', v::intVal()->min(18));

    try {
        // 객체 전체를 한 번에 검증 시도
        $formValidator->assert((object)$data);
        
        $response->getBody()->write(json_encode(["message" => "검증 통과! 가입 진행..."]));
        return $response->withStatus(200);

    } catch (NestedValidationException $e) {
        // 검증 실패 시: 중첩된 에러 메시지들을 배열 형태로 추출
        $errors = $e->getMessages();
        
        $response->getBody()->write(json_encode([
            "error" => "입력 데이터 형식이 잘못되었습니다.",
            "details" => $errors
        ], JSON_UNESCAPED_UNICODE | JSON_PRETTY_PRINT));
        
        return $response->withStatus(400)->withHeader('Content-Type', 'application/json');
    }
});
?>

POST localhost:8080/register

Request Body: { "username": "a", "email": "not-an-email", "age": 16 }
Status: 400 Bad Request

{
  "error": "입력 데이터 형식이 잘못되었습니다.",
  "details": {
    "username": "username must have a length between 3 and 15",
    "email": "email must be a valid email address",
    "age": "age must be greater than or equal to 18"
  }
}

✅ 프론트엔드를 배려하는 API 설계

데이터가 유효하지 않을 때, 단순히 "에러 발생"이라고만 반환하지 않고 400 Bad Request 상태 코드와 함께 어떤 필드가 왜 틀렸는지 명시하는 details 배열을 제공해야 합니다. 프론트엔드는 이 구조화된 에러를 바탕으로 각 입력 폼 하단에 친절한 경고 문구를 렌더링할 수 있습니다.

검증 실패 응답 확인

위의 코드 실행 결과에서 볼 수 있듯, 잘못된 형식의 데이터를 POST 요청으로 전송하면 NestedValidationException이 발생하여, 프론트엔드가 즉시 파싱하여 사용자에게 보여줄 수 있는 상세한 에러 배열(details)과 함께 400 Bad Request가 반환됩니다.

Monolog를 이용한 로깅(Logging)

서버에서 발생하는 에러, 데이터베이스 트랜잭션 성공/실패 여부, 보안 침해 시도 등을 추적하려면 체계적인 로깅 시스템이 필수적입니다. PHP 생태계의 표준 로깅 라이브러리인 Monolog를 Slim 프레임워크와 연동하여 파일(File)에 로그를 남기는 방법을 알아봅니다.

1. Monolog 인스턴스 구성 (DI Container)

DI(Dependency Injection) 컨테이너에 Logger를 등록하면 앱 전역 라우트 콜백에서 $this->get('logger') 형태로 쉽게 불러와 사용할 수 있습니다.

      
      bootstrap.php
    

<?php
use Monolog\Logger;
use Monolog\Handler\StreamHandler;

$container->set('logger', function () {
    // 1. "app" 이라는 이름의 채널을 가진 Logger 인스턴스 생성
    $logger = new Logger('app');
    
    // 2. 로그를 기록할 파일 경로 설정 (일자별 분리도 가능)
    // 두 번째 인자는 최소 로그 레벨입니다. (DEBUG 이상 모두 기록)
    $fileHandler = new StreamHandler(__DIR__ . '/../logs/app.log', Logger::DEBUG);
    
    // 3. 핸들러 장착
    $logger->pushHandler($fileHandler);
    
    return $logger;
});
?>

주요 로그 레벨 (RFC 5424)	사용 목적
DEBUG	개발 중 상세한 진행 과정 확인 및 디버깅 용도
INFO	일반적인 주요 이벤트 (유저 가입, 결제 성공 등)
WARNING	시스템 중단은 아니지만 주의가 필요한 비정상적인 상태
ERROR / CRITICAL	즉각적인 조치가 필요한 심각한 런타임 에러나 DB 연결 실패

2. 라우트 내에서 로그 기록하기

주입된 logger를 호출해 info(), error() 등의 메서드를 사용합니다.

      
      index.php
    

<?php
$app->post('/payment', function ($request, $response) {
    // 컨테이너에서 로거 꺼내기
    $logger = $this->get('logger');
    $data = $request->getParsedBody();

    try {
        $logger->info("결제 트랜잭션 시작", ['user_id' => $data['user_id']]);
        
        // 결제 로직 수행...
        
        $logger->info("결제 승인 완료", ['amount' => $data['amount'], 'pg' => 'Toss']);
        return $response->withStatus(200);
        
    } catch (Exception $e) {
        // 오류 발생 시 스택 트레이스 정보와 함께 ERROR 로그 기록
        $logger->error("결제 실패: " . $e->getMessage(), ['trace' => $e->getTraceAsString()]);
        return $response->withStatus(500);
    }
});
?>

logs/app.log (tail -f)

[2026-05-22 17:05:00] app.INFO: 결제 트랜잭션 시작 {"user_id":1024} []
[2026-05-22 17:05:01] app.INFO: 결제 승인 완료 {"amount":15000,"pg":"Toss"} []
[2026-05-22 17:05:05] app.INFO: 결제 트랜잭션 시작 {"user_id":1025} []
[2026-05-22 17:05:06] app.ERROR: 결제 실패: PG사 연동 타임아웃 예외 발생 {"trace":"#0 /var/www/html/src/..."} []

💡 Context 배열의 중요성

메시지를 문자열 결합($msg . $id)으로 남기는 것보다, 로거의 두 번째 인자인 Context 배열에 데이터를 분리하여 넘기는 것이 강력히 권장됩니다. JSON 포맷으로 구조화되어 추후 Datadog, ElasticSearch 같은 로그 수집 도구에서 검색하기가 압도적으로 유리해집니다.

로그 적재 형태 확인

위의 코드 실행 결과 블록에서 서버의 app.log 파일 내부에 Monolog가 어떤 포맷으로 텍스트를 적재하는지 관찰해 보세요. INFO 레벨과 ERROR 레벨이 명확히 구분되며, Context 배열에 담았던 데이터들이 JSON 형식으로 깔끔하게 남은 것을 볼 수 있습니다.

Twig 템플릿 엔진으로 View 만들기

API 서버가 아니라 HTML 문서를 직접 렌더링해서 클라이언트에게 내려주어야 할 때가 있습니다. PHP 백엔드 로직이 HTML 뷰 코드에 지저분하게 섞이는 것을 방지하기 위해, Slim은 Twig라는 우아하고 현대적인 템플릿 엔진을 공식적으로 지원합니다.

1. Twig-View 패키지 연동

컴포저로 slim/twig-view 패키지를 설치한 뒤, DI 컨테이너에 Twig 인스턴스를 등록하면 라우트에서 손쉽게 가져와 사용할 수 있습니다.

      
      bootstrap.php
    

<?php
use Slim\Views\Twig;
use Slim\Views\TwigMiddleware;

// 1. DI 컨테이너에 Twig 뷰 엔진 등록 (.twig 파일들이 위치할 폴더 경로 지정)
$container->set('view', function() {
    return Twig::create(__DIR__ . '/../templates', ['cache' => false]);
});

$app = AppFactory::createFromContainer($container);

// 2. 뷰 안에서 Slim 라우팅 헬퍼 함수(url_for 등)를 쓰기 위해 미들웨어 장착
$app->add(TwigMiddleware::createFromContainer($app));
?>

2. 라우트에서 템플릿 렌더링 (PHP)

라우트 콜백 내부에서 DB 데이터를 조회한 뒤, $view->render() 메서드를 통해 템플릿 파일명과 함께 변수 배열을 주입합니다.

      
      index.php
    

<?php
$app->get('/profile/{name}', function ($request, $response, $args) {
    // 컨테이너에서 Twig 인스턴스 꺼내기
    $view = $this->get('view');
    
    // 주입할 데이터 배열
    $userData = [
        'name' => $args['name'],
        'role' => 'Administrator',
        'skills' => ['PHP', 'Slim Framework', 'Twig']
    ];
    
    // profile.twig 템플릿 파일에 $userData 변수를 'user' 라는 키값으로 주입하여 렌더링 반환
    return $view->render($response, 'profile.twig', ['user' => $userData]);
});
?>

3. Twig 템플릿 작성 문법 (HTML)

뷰 파일(.twig)에서는 중괄호 {{ 변수명 }} 를 통해 값을 출력하고, {% for %} 등의 구문을 통해 제어 흐름을 다룹니다.

      
      templates/profile.twig
    

<h2>반갑습니다, {{ user.name }}님!</h2>
<p>권한: {{ user.role | upper }}</p> <!-- upper 필터를 통해 대문자로 렌더링 -->

<h4>보유 기술 스택:</h4>
<ul>
{% for skill in user.skills %}
    <li>{{ skill }}</li>
{% else %}
    <li>등록된 스킬이 없습니다.</li>
{% endfor %}
</ul>

localhost:8080/profile/Minstudio

반갑습니다, Minstudio님!

권한: ADMINISTRATOR

보유 기술 스택:

PHP
Slim Framework
Twig

💡 안전한 XSS 방어 (Auto-escaping)

Twig의 {{ }} 출력 구문은 기본적으로 HTML 이스케이프 처리가 자동으로 적용됩니다. 악의적인 유저가 입력 폼에 <script> 태그를 넣어두었더라도, 브라우저에서 실행되지 않고 안전한 텍스트로 치환되어 렌더링되므로 XSS(Cross Site Scripting) 공격을 원천적으로 차단할 수 있습니다.

Twig 렌더링 결과 확인

위의 코드 실행 결과 블록에서 볼 수 있듯, $userData 배열 데이터가 Twig 엔진을 거치면서 템플릿의 변수 부분과 결합되어 완벽한 HTML 페이지로 브라우저에 렌더링 됩니다.

의존성 주입(DI)과 PHP-DI 컨테이너

Slim 프레임워크는 내부적으로 어떤 DI(Dependency Injection) 컨테이너든 결합할 수 있는 유연한 구조(PSR-11)를 지원합니다. 그중에서도 가장 강력하고 사용하기 쉬운 PHP-DI를 연동하여, 객체 간의 의존성을 깔끔하게 해결하고 테스트하기 쉬운 코드를 작성하는 방법을 배웁니다.

1. 의존성 주입(DI)이란?

특정 클래스가 다른 클래스(예: 데이터베이스 연결 객체, 로거 등)를 내부에서 직접 생성(new)하지 않고, 외부에서 주입받는(Inject) 설계 패턴입니다. 결합도를 낮추고 단위 테스트(Unit Test) 시 Mock 객체로 교체하기 쉽게 만들어 줍니다.

안 좋은 예 (강한 결합)	좋은 예 (의존성 주입)
class UserController { private $db; public function __construct() { // ❌ 클래스 내부에서 직접 생성 $this->db = new Database(); } }	class UserController { private $db; // ✅ 외부(컨테이너)에서 객체를 주입받음 public function __construct(Database $db) { $this->db = $db; } }

안 좋은 예 (강한 결합)

좋은 예 (의존성 주입)

class UserController {
  private $db;
  public function __construct() {
    // ❌ 클래스 내부에서 직접 생성
    $this->db = new Database();
  }
}

class UserController {
  private $db;
  // ✅ 외부(컨테이너)에서 객체를 주입받음
  public function __construct(Database $db) {
    $this->db = $db;
  }
}

2. PHP-DI 설정 및 수동 주입

php-di/php-di 패키지를 설치한 후 AppFactory를 통해 앱을 생성하기 전 컨테이너를 세팅합니다. 컨테이너 저장소에 필요한 객체(예: PDO)를 미리 정의해 둡니다.

      
      index.php
    

<?php
use DI\Container;
use Slim\Factory\AppFactory;

// 1. PHP-DI 컨테이너 인스턴스 생성
$container = new Container();

// 2. 수동으로 컨테이너에 객체 등록 (예: PDO DB 연결 인스턴스)
$container->set(PDO::class, function () {
    return new PDO('mysql:host=localhost;dbname=test', 'root', 'password');
});

// 3. 컨테이너를 Slim 앱에 주입
AppFactory::setContainer($container);
$app = AppFactory::create();
?>

3. PHP-DI의 핵심: 자동 주입(Autowiring)

앱이 커지면 $app->get() 안에 익명 함수로 로직을 다 적는 것은 무리가 있습니다. 별도의 컨트롤러 클래스로 분리하면 PHP-DI가 생성자의 타입 힌트(Type-hint)만 보고도 필요한 객체를 알아서 찾아 주입(Autowiring)해 줍니다.

      
      UserController.php
    

<?php
namespace App\Controllers;
use PDO;

class UserController {
    private $db;

    // 💡 PHP-DI가 'PDO' 타입 힌트를 보고 컨테이너에서 객체를 알아서 찾아 주입(Autowiring) 해줍니다!
    public function __construct(PDO $db) {
        $this->db = $db;
    }

    // 비즈니스 로직 메서드
    public function getUser($request, $response, $args) {
        $stmt = $this->db->prepare("SELECT * FROM users WHERE id = ?");
        $stmt->execute([$args['id']]);
        
        $response->getBody()->write(json_encode($stmt->fetch()));
        return $response->withHeader('Content-Type', 'application/json');
    }
}

// index.php 에서는 클래스와 메서드를 문자열로만 연결하면 끝납니다.
$app->get('/users/{id}', '\App\Controllers\UserController:getUser');
?>

DI Container Resolution Logs

[Router] GET /users/7 매칭 성공. 호출 타겟: '\App\Controllers\UserController:getUser'
[PHP-DI] UserController 클래스 분석 중... __construct(PDO $db) 타입 힌트 발견.
[PHP-DI] 컨테이너에서 PDO::class 매핑 탐색... 성공!
[PHP-DI] PDO 인스턴스 자동 주입(Autowiring) 완료 및 UserController 객체 생성.
[Controller] 비즈니스 로직(DB 쿼리) 정상 실행. HTTP 200 OK 응답 반환.

⚠️ 주의: Autowiring 남용

Autowiring은 매우 편리하지만, 마법처럼 동작하기 때문에 내부 흐름을 파악하기 어려울 수 있습니다. 명확한 인터페이스(Interface)를 정의하고 컨테이너 설정 파일에서 인터페이스와 구현체를 명시적으로 매핑해 주는 것이 규모가 큰 프로젝트에서는 더 좋은 설계입니다.

자동 주입(Autowiring) 동작 확인

위의 코드 실행 결과 블록에서 볼 수 있듯, 클라이언트가 API를 요청하면 라우터가 컨트롤러를 호출하기 직전에 PHP-DI 컨테이너가 중간에 개입하여 __construct의 타입 힌트를 분석하고, 필요한 부품(PDO 객체 등)들을 컨테이너에서 꺼내어 자동으로 조립(Autowiring) 해주는 과정을 확인할 수 있습니다.

Eloquent ORM으로 DB 연동하기

데이터베이스를 다룰 때 순수 SQL 쿼리 문자열을 작성하는 방식(PDO)은 직관적이지만 코드가 길어지고 유지보수가 어렵습니다. PHP 진영(특히 Laravel)에서 가장 강력하고 사랑받는 Eloquent ORM 패키지를 Slim 프레임워크에 독립적으로 연동하여, DB 테이블을 우아한 객체 지향(Object-Oriented) 방식으로 제어하는 기술을 배웁니다.

1. ORM(Object-Relational Mapping)이란?

데이터베이스의 테이블을 프로그래밍 언어의 클래스(Class)에, 테이블의 레코드(Row)를 객체(Object) 인스턴스에 매핑하는 기술입니다. 복잡한 SQL 쿼리문을 몰라도 순수한 PHP 코드의 메서드 호출만으로 CRUD 작업을 수행할 수 있게 해줍니다.

2. 패키지 설치 및 Capsule 설정 (전역 부트스트랩)

illuminate/database 패키지를 설치한 뒤, index.php 최상단에서 DB 연결 정보 배열을 세팅합니다. Capsule Manager를 통해 정적(Static)으로 어디서든 접근할 수 있도록 setAsGlobal()을 호출하는 것이 핵심입니다.

      
      bootstrap.php
    

<?php
use Illuminate\Database\Capsule\Manager as Capsule;

$capsule = new Capsule;
$capsule->addConnection([
    'driver'    => 'mysql',
    'host'      => 'localhost',
    'database'  => 'minstudio_db',
    'username'  => 'root',
    'password'  => 'secret_pass',
    'charset'   => 'utf8mb4',
    'collation' => 'utf8mb4_unicode_ci',
    'prefix'    => '',
]);

// 어디서든 전역 정적(Static) 메서드로 ORM을 사용할 수 있게 설정
$capsule->setAsGlobal();
// Eloquent ORM 부팅
$capsule->bootEloquent();
?>

3. 모델(Model) 클래스 생성과 쿼리 빌더

IlluminateDatabaseEloquentModel을 상속받는 클래스만 만들어주면 끝납니다. Eloquent는 클래스명의 복수형(예: User -> users)을 자동으로 테이블 이름으로 매핑합니다.

      
      index.php
    

<?php
namespace App\Models;
use Illuminate\Database\Eloquent\Model;

class User extends Model {
    // 💡 별도의 필드 선언 없이도 DB 컬럼이 동적으로 매핑됩니다!
    // protected $table = 'my_custom_users';
    // protected $fillable = ['name', 'email']; 
}

// ----------------------------------------
// 라우트 내부 비즈니스 로직에서의 활용 예시
// ----------------------------------------
$app->get('/users', function ($request, $response) {
    // ❌ 기존 PDO 방식 (하드코딩된 SQL 문자열)
    // $stmt = $pdo->query("SELECT * FROM users WHERE active = 1 ORDER BY created_at DESC");
    // $users = $stmt->fetchAll();

    // ✅ Eloquent ORM 쿼리 빌더 방식 (직관적인 메서드 체이닝)
    $users = \App\Models\User::where('active', 1)->orderBy('created_at', 'desc')->get();
    
    // 객체 컬렉션을 JSON으로 자동 직렬화
    $response->getBody()->write($users->toJson());
    return $response->withHeader('Content-Type', 'application/json');
});
?>

Eloquent ORM -> Raw SQL Translation Log

[DB Query Builder] Executing translated SQL:

        SELECT * FROM `users`

        WHERE `active` = ?

        ORDER BY `created_at` DESC
      
> PDO Bindings: [1]
Execution Time: 2.1ms

✅ SQL Injection 완벽 방어

Eloquent ORM의 모든 메서드(where, create 등)는 백그라운드에서 PDO Parameter Binding(Prepared Statements)을 사용하도록 설계되어 있습니다. 즉 User::where('email', $_POST['email']) 처럼 유저의 입력값을 바로 넣어도 악의적인 SQL 문법이 삽입(Injection)되는 것을 원천적으로 차단합니다.

ORM ➡️ SQL 변환 로그 확인

위의 코드 블록 하단 콘솔 목업에서 볼 수 있듯, 우리가 작성한 직관적인 체이닝 코드(where(...)->orderBy(...))가 백그라운드에서 실제 어떤 형태의 안전한 Raw SQL 구문으로 번역되는지를 확인할 수 있습니다. 인자값(1)은 ? 로 대체되어 PDO 바인딩 처리되므로 SQL 인젝션 공격으로부터 매우 안전합니다.

RESTful API 설계 원칙과 구현

모던 백엔드 개발에서 REST(REpresentational State Transfer) 원칙은 선택이 아닌 필수입니다. URI(주소)로는 조작할 자원(Resource)만을 명시하고, 그 자원에 대해 '어떤 행동(Action)'을 할 것인지는 HTTP Method(GET, POST, PUT, DELETE)로 정의하는 이 우아한 표준 설계 패턴을 Slim 프레임워크에 구현하는 방법을 알아봅니다.

1. 안 좋은 API 설계 vs RESTful API 설계

과거에는 URI 자체에 동사(행위)를 포함시키는 경우가 많았습니다. (예: /createUser). REST 아키텍처에서는 주소는 명사형 자원(/users)만 명시하고, CRUD 행위는 HTTP Method에 전적으로 위임합니다.

행위 (CRUD)	안 좋은 예시 (동사 포함)	RESTful 예시 (표준)
목록 조회 (Read)	GET /getUsers	GET /users
신규 생성 (Create)	POST /createUser	POST /users
전체 수정 (Update)	POST /updateUser?id=7	PUT /users/7
레코드 삭제 (Delete)	GET /deleteUser?id=7	DELETE /users/7

2. Slim 프레임워크에서의 라우팅 그룹핑(Grouping)

Slim 프레임워크는 HTTP Method별로 직관적인 라우팅 메서드(get, post, put, delete)를 제공합니다. 또한 $app->group()을 활용하면 동일한 경로(/users)를 사용하는 연관된 API들을 깔끔하게 묶어(Grouping) 코드를 구조화할 수 있습니다.

      
      routes.php
    

<?php
use Slim\Routing\RouteCollectorProxy;

// '/users' 공통 경로를 묶는 그룹 설정
$app->group('/users', function (RouteCollectorProxy $group) {
    
    // [C] 생성: POST /users
    $group->post('', function ($request, $response) {
        $data = $request->getParsedBody();
        // DB 저장 로직 (Eloquent 등)
        return $response->withStatus(201); // 상태코드 201 Created 반환
    });

    // [R] 목록 조회: GET /users
    $group->get('', function ($request, $response) {
        $users = ["user1", "user2"];
        $response->getBody()->write(json_encode($users));
        return $response->withHeader('Content-Type', 'application/json')->withStatus(200);
    });

    // [R] 단일 조회: GET /users/{id}
    $group->get('/{id}', function ($request, $response, $args) {
        // $args['id'] 로 대상 유저 식별
        return $response->withStatus(200);
    });

    // [U] 통째로 수정: PUT /users/{id}
    $group->put('/{id}', function ($request, $response, $args) {
        return $response->withStatus(200);
    });

    // [D] 삭제: DELETE /users/{id}
    $group->delete('/{id}', function ($request, $response, $args) {
        return $response->withStatus(204); // 성공했으나 돌려줄 바디 내용이 없다는 뜻 (204 No Content)
    });
    
});
?>

Terminal (curl API Testing)

$ curl -i -X POST http://localhost:8080/users -d '{"name":"Charlie"}'
HTTP/1.1 201 Created
Host: localhost:8080
Content-Length: 0
Date: Fri, 22 May 2026 09:05:12 GMT
$ curl -i -X DELETE http://localhost:8080/users/7
HTTP/1.1 204 No Content
Host: localhost:8080
Date: Fri, 22 May 2026 09:05:18 GMT

💡 적절한 HTTP 상태 코드(Status Code) 반환

완벽한 REST API를 구축하려면 응답 바디(JSON 데이터)뿐만 아니라, HTTP 헤더의 상태 코드도 상황에 맞게 명확히 응답해야 합니다. 데이터 생성 성공 시에는 201 Created, 데이터 삭제 완료 후 바디 내용이 비어있을 때는 204 No Content, 인증되지 않은 요청엔 401 Unauthorized를 반환하는 것이 글로벌 표준 설계입니다.

API 응답 상태 코드 확인

위의 터미널 목업에서는 curl을 이용해 API를 테스트한 결과를 보여줍니다. 동일한 자원 URI(/users)를 대상으로 하더라도 서로 다른 HTTP Method(POST, DELETE)를 요청했을 때 백엔드 라우터가 이를 분기하여 적절한 처리 후 알맞은 상태 코드(201 Created, 204 No Content)를 응답하는 것을 확인할 수 있습니다.

JSON 응답 최적화와 상태 코드 관리

Slim 프레임워크 기반 API를 구축할 때, 매번 json_encode()를 호출하고 Content-Type 헤더를 수동으로 세팅하는 중복 작업을 줄이는 방법(커스텀 헬퍼 함수 구현)과, 프론트엔드와 원활하게 소통하기 위해 상황별로 올바른 HTTP Status Code를 매핑하는 모범 사례를 알아봅니다.

1. 불편한 기본 JSON 응답 방식

기본적인 Slim의 방식대로라면, PHP 배열을 JSON 문자열로 직렬화하고, 바디 버퍼에 쓰고, application/json 헤더를 붙이는 지루한 코드를 모든 라우트마다 반복해야 합니다.

      
      index.php
    

<?php
$app->get('/users', function ($request, $response) {
    $data = ['id' => 1, 'name' => 'Minstudio'];
    
    // ❌ 매번 반복해야 하는 코드
    $response->getBody()->write(json_encode($data));
    return $response
            ->withHeader('Content-Type', 'application/json')
            ->withStatus(200);
});
?>

2. 최적화: JSON 헬퍼(Helper) 함수 만들기

반복을 피하기 위해 전역(Global) 헬퍼 함수를 하나 만들어두면, 응답 코드를 획기적으로 줄이고 프로젝트 전체에 일관된 API 규격을 강제할 수 있습니다.

      
      helpers.php
    

<?php
// helpers.php 에 선언해두고 전역으로 로드
function jsonResponse($response, array $data, int $status = 200) {
    // JSON_UNESCAPED_UNICODE 옵션으로 한글 깨짐 방지
    $response->getBody()->write(json_encode($data, JSON_UNESCAPED_UNICODE));
    return $response
        ->withHeader('Content-Type', 'application/json')
        ->withStatus($status);
}

// ------------------------------------
// 라우터에서의 활용 (코드가 훨씬 간결해집니다)
// ------------------------------------
$app->post('/users', function ($request, $response) {
    // DB 저장 로직 (Eloquent 등)
    $newUser = ['id' => 3, 'name' => 'Charlie'];
    
    // ✅ 단 한 줄로 JSON 응답 바디 작성 + 상태 코드 설정 완료
    return jsonResponse($response, $newUser, 201);
});
?>

Terminal (curl Response)

$ curl -i -X POST http://localhost:8080/users -d '{"name":"Charlie"}'
HTTP/1.1 201 Created
Host: localhost:8080
Content-Type: application/json
Date: Fri, 22 May 2026 12:45:00 GMT
{
"id": 3,
"name": "Charlie"
}

3. 상황별 HTTP Status Code 모범 사례

프론트엔드 개발자와 원활하게 협업하려면, 단순히 성공(200)과 서버 에러(500)만 내려주어서는 안 됩니다. 실패 원인이나 성공의 종류에 맞게 세분화된 상태 코드를 매핑해야 합니다.

HTTP Status	설명 (주요 사용처)	권장 JSON 응답 형태 (예시)
200 OK	일반적인 요청 성공 (GET 데이터 조회, PUT 성공 등)	`{ "data": [...] }`
201 Created	POST 요청으로 새로운 리소스가 성공적으로 생성됨	`{ "id": 7, "message": "생성 완료" }`
400 Bad Request	클라이언트가 보낸 데이터 형식이 틀림 (유효성 검사 실패)	`{ "error": "Invalid Data", "details": {...} }`
401 Unauthorized	로그인 인증이 누락되었거나 JWT 토큰이 유효하지 않음	`{ "error": "로그인이 필요합니다." }`
403 Forbidden	로그인은 했으나 해당 리소스에 접근할 권한(Role)이 없음	`{ "error": "권한이 없습니다." }`
404 Not Found	요청한 자원(예: 없는 유저 ID)이 DB에 존재하지 않음	`{ "error": "존재하지 않는 회원입니다." }`

JSON 헬퍼 함수 동작 확인

위의 터미널 목업에서는 jsonResponse() 헬퍼 함수를 통해 API 응답이 어떻게 전달되는지 보여줍니다. 단 한 줄의 코드로 JSON 인코딩, Content-Type 헤더 세팅, 그리고 201 Created 와 같은 상태 코드 설정이 한 번에 처리되어 매우 깔끔한 백엔드 구조를 유지할 수 있습니다.

JWT(JSON Web Token)를 이용한 사용자 인증

최신 RESTful API 서버는 세션(Session) 대신 상태를 저장하지 않는(Stateless) JWT 인증 방식을 주로 채택합니다. 서버에서 비밀 키(Secret Key)로 서명하여 발급한 토큰을 프론트엔드가 보관하고, 매 API 요청마다 헤더에 담아 전송하여 자신을 증명하는 인증 프로세스를 Slim 프레임워크에 구현해 봅니다.

1. JWT(JSON Web Token)의 3단 구조

JWT는 .(점)을 기준으로 헤더(Header), 페이로드(Payload), 서명(Signature) 세 부분으로 나뉩니다. 누구나 Base64 디코딩으로 내용을 열어볼 수 있으므로 비밀번호 같은 민감한 정보는 절대 넣으면 안 되며, 마지막 서명(Signature) 부분이 위조 방지의 핵심 역할을 합니다.

2. 패키지 설치 및 로그인 시 토큰 발급 (Encode)

가장 검증된 패키지인 firebase/php-jwt 를 컴포저로 설치합니다. 클라이언트가 올바른 계정 정보를 보내면, 서버는 식별자(user_id)와 만료 시간(exp)을 담아 토큰을 생성(Encode)하여 반환합니다.

      
      routes.php (Auth)
    

<?php
use Firebase\JWT\JWT;

$app->post('/api/login', function ($request, $response) {
    $data = $request->getParsedBody();
    
    // (생략) DB에서 유저 조회 및 password_verify() 검증 수행
    // if (!$isValidUser) { return jsonResponse($response, ['error'=>'실패'], 401); }

    $secretKey  = $_ENV['JWT_SECRET']; // ⚠️ 절대 하드코딩 금지, .env에서 로드
    $issuedAt   = time();
    $expire     = $issuedAt + 3600; // 1시간 후 만료

    // Payload 데이터 구성
    $payload = [
        'iat'  => $issuedAt,
        'exp'  => $expire,
        'sub'  => 7 // 인증된 유저의 Primary Key
    ];

    // JWT 라이브러리를 통해 암호화(Encode)된 토큰 문자열 생성
    $token = JWT::encode($payload, $secretKey, 'HS256');

    return jsonResponse($response, ['token' => $token], 200);
});
?>

3. 보호된 API 접근 시 토큰 검증 (Decode)

프론트엔드는 발급받은 토큰을 로컬 스토리지에 보관하다가, 보안이 필요한 API를 호출할 때마다 Authorization: Bearer [토큰] 헤더에 담아 보냅니다. 서버는 이를 해독(Decode)하여 위변조 및 만료 여부를 검사합니다.

      
      routes.php (Profile API)
    

<?php
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

$app->get('/api/profile', function ($request, $response) {
    $header = $request->getHeaderLine('Authorization');
    $token = str_replace('Bearer ', '', $header); // Bearer 키워드 분리

    if (empty($token)) {
        return jsonResponse($response, ['error' => '토큰이 누락되었습니다.'], 401);
    }

    try {
        $secretKey = $_ENV['JWT_SECRET'];
        
        // 💡 토큰 해독 시도: 만약 위조되었거나 만료되었다면 여기서 즉시 Exception 발생!
        $decoded = JWT::decode($token, new Key($secretKey, 'HS256'));
        
        $userId = $decoded->sub; // 토큰에 담아뒀던 유저 ID 꺼내기
        
        // (DB 조회 등 비즈니스 로직 수행)
        return jsonResponse($response, ['user_id' => $userId, 'name' => 'John'], 200);

    } catch (\Exception $e) {
        // 해독 실패 (만료, 변조 등)
        return jsonResponse($response, ['error' => '유효하지 않은 토큰입니다.'], 401);
    }
});
?>

Backend Router Execution Log

[Info] GET /api/profile 요청 수신
[Info] Authorization: Bearer eyJhbGciOiJ... 헤더 파싱
> JWT 토큰 서명(Signature) 유효성 검증 중...
[Success] 검증 성공! 서버가 발급한 유효한 토큰입니다.
[Info] Payload 해독 -> user_id: 7 추출
[Success] 7번 유저 프로필 데이터 반환 (HTTP 200)
[Info] GET /api/profile (위조된 요청) 수신
[Info] Authorization: Bearer eyJhbGciOiJ... 헤더 파싱
> JWT 토큰 서명(Signature) 유효성 검증 중...
[Error] ⛔ 서명 불일치! 누군가 Payload를 변조했습니다.
[Error] 접근 거부 (HTTP 401 Unauthorized)

⚠️ 시크릿 키 관리 및 보안 (매우 중요)

토큰의 서명(Signature)을 검증할 때 사용하는 Secret Key가 외부에 유출되면, 해커가 임의로 서명을 새로 만들 수 있으므로 시스템 보안이 완전히 붕괴됩니다. 이 키는 절대 코드 저장소(Git)에 올리지 말고 서버의 .env 환경 변수로 엄격하게 관리해야 합니다.

JWT 인증 흐름 검증

위의 백엔드 실행 로그 목업에서 볼 수 있듯, 정상적인 토큰이 들어오면 서명 검증 후 안전하게 유저 식별자(user_id)를 추출해 API를 제공합니다. 반면, 누군가 Payload를 변조하여 다른 권한으로 상승하려 해도, Secret Key가 없는 한 올바른 서명(Signature)을 새로 만들 수 없으므로 JWT::decode() 함수에서 즉각적으로 예외(Exception)를 발생시키고 401 Unauthorized 에러를 뱉어내며 철벽 방어를 수행합니다.

보안: CSRF 방지 및 데이터 필터링

모든 웹 애플리케이션은 해커의 악의적인 공격(XSS, CSRF, SQL Injection 등)에 노출되어 있습니다. Slim 프레임워크의 CSRF Guard 미들웨어를 적용하여 폼(Form) 위조 공격을 완벽히 차단하고, PHP의 내장 함수를 활용해 사용자가 입력한 모든 데이터를 서버에 저장하기 전 안전하게 정화(Sanitization)하는 핵심 보안 계층(Security Layer) 구축 방법을 배웁니다.

1. XSS 공격과 데이터 필터링(Sanitization)

게시판이나 댓글 창에 해커가 악성 자바스크립트(<script>)를 몰래 입력하여, 다른 사용자의 브라우저에서 실행되게 만드는 공격을 XSS(Cross-Site Scripting)라고 합니다. 백엔드 개발자의 가장 기본 철칙은 "클라이언트가 보낸 모든 입력을 절대 신뢰하지 않고 무조건 필터링한다"는 것입니다.

방어 기법	PHP 내장 함수 및 동작 원리
HTML 태그 무효화	`htmlspecialchars($input, ENT_QUOTES, 'UTF-8')` < 기호를 < 로 변환하여, DB에 저장된 후 화면에 출력될 때 브라우저가 실행 가능한 태그가 아닌 단순 텍스트로 인식하게 만듭니다.
모든 태그 강제 삭제	`strip_tags($input)` 문자열 내에 포함된 모든 HTML, PHP 태그를 흔적도 없이 완전히 제거해 버립니다.
타입/정규식 필터링	`filter_var($input, FILTER_SANITIZE_EMAIL)` 이메일이나 숫자 등 기대하는 특정 포맷에 맞지 않는 불필요한 문자를 걸러냅니다.

2. CSRF(Cross-Site Request Forgery) 방어

CSRF는 해커가 사용자의 로그인 권한(세션/쿠키)을 훔쳐, 사용자의 의도와 상관없이 몰래 송금이나 회원 탈퇴 등의 치명적인 요청을 보내도록 위조하는 해킹 기법입니다. 이를 원천 차단하기 위해 서버는 폼(Form)을 그릴 때마다 일회용 난수 보안 토큰을 발행하고, 폼이 전송될 때 이 토큰이 일치하는지 미들웨어 단에서 엄격하게 검사해야 합니다.

      
      index.php (Security Settings)
    

<?php
// 1. 패키지 설치: composer require slim/csrf
use Slim\Csrf\Guard;

// 2. 세션 시작 (토큰을 서버 메모리에 저장하기 위해 필수)
session_start();

// 3. CSRF Guard 객체 생성 및 전역 미들웨어로 앱에 장착
$responseFactory = $app->getResponseFactory();
$csrf = new Guard($responseFactory);
$app->add($csrf);

// ----------------------------------------
// GET 라우트: CSRF 토큰을 생성하여 뷰(View)에 내려줌
// ----------------------------------------
$app->get('/form', function ($request, $response) use ($csrf) {
    // 보안 토큰 이름과 실제 난수값 획득
    $nameKey = $csrf->getTokenNameKey();
    $valueKey = $csrf->getTokenValueKey();
    $name = $request->getAttribute($nameKey);
    $value = $request->getAttribute($valueKey);

    // HTML Form 안에 hidden 필드로 토큰을 몰래 심어둡니다.
    $html = "
      <form method='POST' action='/submit'>
         <input type='hidden' name='$nameKey' value='$name'>
         <input type='hidden' name='$valueKey' value='$value'>
         <input type='text' name='message'>
         <button type='submit'>보안 전송</button>
      </form>";
      
    $response->getBody()->write($html);
    return $response;
});

// ----------------------------------------
// POST 라우트: 폼 처리 (미들웨어가 방어벽 역할을 먼저 수행함)
// ----------------------------------------
$app->post('/submit', function ($request, $response) {
    // 💡 이 비즈니스 로직까지 도달했다는 것은 CSRF 토큰 검사를 무사히 통과했다는 뜻입니다!
    $data = $request->getParsedBody();
    
    // XSS 방지를 위한 데이터 Sanitization 적용
    $cleanMessage = htmlspecialchars($data['message'] ?? '', ENT_QUOTES, 'UTF-8');
    
    // DB 저장...
    $response->getBody()->write("안전하게 처리 및 저장됨: " . $cleanMessage);
    return $response;
});
?>

Server Security Log (XSS & CSRF Defense)

[Info] 악성 스크립트가 포함된 POST 요청 수신
[Info] Payload: message="<script>alert('쿠키 탈취!');</script>"
> CSRF Middleware: 토큰 검증 중...
[Guard] 정상 폼(토큰 일치) - 통과
> Sanitization: htmlspecialchars() 작동
[Success] 데이터 변환 및 저장 완료: &lt;script&gt;alert(&#039;쿠키 탈취!&#039;);&lt;/script&gt;
[Info] 타 사이트에서 위조된 POST 요청 전송 시도 수신 (토큰 누락)
> CSRF Middleware: 토큰 검증 중...
[Error] ⛔ Failed CSRF check! 토큰이 없거나 유효하지 않습니다.
[Error] HTTP 400 Bad Request 리턴 (비즈니스 로직 접근 원천 차단)

💡 JWT 인증 API 서버와 CSRF 방어의 상관관계

이전 챕터에서 배운 브라우저가 자동으로 첨부하지 않는 JWT(Bearer Token) 전용 API 서버라면 구조적으로 CSRF 공격 자체가 불가능합니다. 하지만 일반적인 세션/쿠키 기반의 인증을 혼용하거나 SSR 웹사이트를 함께 운영한다면, 이 CSRF 방어 미들웨어는 무조건 필수적으로 적용해야 합니다.

웹 보안 방어 로그 검증

위의 백엔드 보안 로그 목업에서는 두 가지 방어 시나리오를 보여줍니다. 첫 번째는 악성 스크립트 페이로드가 들어왔을 때, htmlspecialchars()를 통해 브라우저가 실행할 수 없는 단순 텍스트 문자열(<script>)로 무력화(Sanitization)되어 안전하게 DB에 저장되는 모습입니다. 두 번째는 해커가 타 사이트에서 보안 토큰을 누락한 위조 폼을 전송했을 때, 미들웨어 단계에서 즉각적으로 라우터 진입을 차단(400 Bad Request)하는 CSRF 방어선 동작을 보여줍니다.

PSR-7과 PSR-15 인터페이스 이해

Slim 프레임워크가 독자적인 방식이 아닌 PHP 표준 권고안(PSR)을 완벽하게 준수하고 있다는 것은 실무에서 매우 강력한 장점입니다. HTTP 메시지를 정의하는 PSR-7과 미들웨어 파이프라인을 정의하는 PSR-15의 개념을 이해하여, 특정 프레임워크에 종속되지 않는 재사용 가능한 코드를 작성하는 방법을 배웁니다.

1. PSR-7: HTTP 메시지 표준 인터페이스

과거의 PHP 개발자들은 $_GET, $_POST, $_SERVER 같은 전역 변수(Superglobals)에 직접 접근하여 코드를 작성했습니다. PSR-7은 이러한 HTTP 요청(Request)과 응답(Response)을 불변(Immutable) 객체로 추상화한 PHP 커뮤니티의 표준입니다. Slim의 라우터 콜백에 주입되는 $request와 $response 객체가 바로 이 규격을 따릅니다.

과거의 안티 패턴 (전역 변수)	PSR-7 객체지향 방식 (Slim)
`$userId = $_GET['id'];`	`$userId = $request->getQueryParams()['id'] ?? null;`
`$token = $_SERVER['HTTP_AUTHORIZATION'];`	`$token = $request->getHeaderLine('Authorization');`
`echo json_encode($data); header('Content-Type: application/json');`	`$response->getBody()->write(json_encode($data)); return $response->withHeader('Content-Type', '...');`

⚠️ 객체의 불변성 (Immutability) 핵심 원칙

PSR-7 객체는 상태가 변경되지 않습니다(Immutable). 예를 들어 $response->withStatus(404)를 호출하면 기존 객체의 상태가 변하는 것이 아니라, 상태 코드가 404로 설정된 새로운 복제본(Clone) 객체가 생성되어 반환됩니다. 따라서 반드시 $response = $response->withStatus(404); 처럼 변수에 다시 할당하거나 체이닝(Chaining)을 통해 Return 해야만 정상적으로 동작합니다.

2. PSR-15: 미들웨어 표준 인터페이스

PSR-15는 이 PSR-7 기반의 Request 객체를 받아 가공한 뒤 Response 객체를 반환하는 미들웨어(Middleware) 파이프라인의 표준 규격입니다. 커스텀 미들웨어 클래스를 작성할 때는 반드시 MiddlewareInterface를 구현(implements)해야 합니다.

      
      ApiTokenMiddleware.php
    

<?php
use Psr\Http\Message\ServerRequestInterface as Request;
use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Server\MiddlewareInterface;
use Slim\Psr7\Response as SlimResponse;

// PSR-15 표준을 완벽히 준수하는 커스텀 미들웨어
class ApiTokenMiddleware implements MiddlewareInterface
{
    // PSR-15의 유일한 요구사항: process 메서드 구현
    public function process(Request $request, RequestHandler $handler): Response
    {
        // 1. 요청(Request) 검사 (안쪽 계층으로 들어가기 전)
        $token = $request->getHeaderLine('X-API-Key');
        
        if ($token !== 'secret_123') {
            // [검증 실패] : 다음 계층(라우터)으로 보내지 않고, 즉시 401 에러를 담아 반환 (단락 평가)
            $response = new SlimResponse();
            $response->getBody()->write('Invalid Token');
            return $response->withStatus(401);
        }

        // 2. [검증 성공] : RequestHandler를 통해 다음 미들웨어(또는 최종 코어 라우터)로 Request를 넘겨줌
        // 그리고 비즈니스 로직 처리가 모두 끝난 후 되돌아온 Response 객체를 받음
        $response = $handler->handle($request);

        // 3. 응답(Response) 가공 후 바깥 계층으로 반환 (밖으로 빠져나올 때)
        return $response->withHeader('X-Processed-By', 'ApiTokenMiddleware');
    }
}
?>

Onion Architecture Pipeline Execution Log

[Info] GET /api/data 요청 수신
> Pipeline Execution Started...
[Middleware 1] 요청 진입 (LoggingMiddleware)
[Middleware 2] 요청 진입 (ApiTokenMiddleware)
     └ 토큰 검증 성공 ('secret_123' 일치)
[Core Router] 비즈니스 로직 실행 및 200 OK 응답 객체 생성
[Middleware 2] 응답 반환 전 (ApiTokenMiddleware)
     └ 헤더 추가: X-Processed-By=ApiTokenMiddleware
[Middleware 1] 응답 반환 전 (LoggingMiddleware)
[Success] 클라이언트에게 최종 Response 객체 반환 완료
[Info] GET /api/data 요청 수신 (토큰 없음)
> Pipeline Execution Started...
[Middleware 1] 요청 진입 (LoggingMiddleware)
[Middleware 2] 요청 진입 (ApiTokenMiddleware)
     └ ⛔ 토큰 검증 실패 (Invalid Token)
     └ [Short-Circuit] 코어 라우터로 진입하지 않고 즉시 차단!
[Middleware 1] 응답 반환 전 (LoggingMiddleware)
[Error] 클라이언트에게 401 Unauthorized Response 반환 완료

PSR 표준의 압도적인 장점: 프레임워크 상호 호환성

과거에는 각 프레임워크(Laravel, CodeIgniter 등)마다 미들웨어를 작성하는 규칙과 Request 객체의 모양이 제각각이어서 코드를 재사용할 수 없었습니다. 하지만 PSR-15를 준수하는 미들웨어 클래스로 작성해두면, 현재 만들고 있는 Slim 앱 뿐만 아니라 Zend Expressive(Mezzio) 등 다른 PSR-15 호환 프레임워크로 시스템을 이전하더라도 코드 단 한 줄 수정 없이 미들웨어를 100% 재사용할 수 있다는 놀라운 이점이 있습니다.

양파(Onion) 아키텍처 파이프라인 흐름

PSR-15 미들웨어는 흔히 양파 껍질 구조에 비유됩니다. 위의 콘솔 실행 로그 목업에서 볼 수 있듯, Request가 껍질(미들웨어 1 -> 2)을 차례대로 뚫고 코어(라우터)로 들어갔다가, 처리가 완료된 후 Response로 감싸져서 역순(미들웨어 2 -> 1)으로 바깥 껍질로 빠져나오는 흐름이 핵심입니다. 또한 인증에 실패할 경우 코어까지 들어가지 않고 미들웨어 단계에서 즉시 튕겨 나오는(단락 평가) 모습도 확인할 수 있습니다.

Slim 애플리케이션 유닛 테스트 (PHPUnit)

안정적인 프로덕션 애플리케이션을 유지하고 지속적 통합(CI)을 구축하려면 테스트 자동화가 필수입니다. PHP 진영의 표준 테스트 프레임워크인 PHPUnit을 활용하여, Slim의 라우터 엔드포인트에 가상(Mock) 요청을 밀어넣고 그 응답(Response)이 의도한 대로 동작하는지 검증하는 방법을 알아봅니다.

1. PHPUnit 설치 및 설정

먼저 컴포저를 통해 require --dev phpunit/phpunit 명령어로 개발 환경용 패키지를 설치합니다. 이후 프로젝트 루트에 phpunit.xml 설정 파일을 생성하여 테스트 대상 디렉터리와 환경 변수를 세팅합니다.

<!-- phpunit.xml 설정 예시 -->
<phpunit bootstrap="vendor/autoload.php" colors="true">
    <testsuites>
        <testsuite name="Slim Application Test Suite">
            <directory>tests</directory>
        </testsuite>
    </testsuites>
    <php>
        <!-- 테스트 전용 환경 변수(DB 등) 오버라이딩 가능 -->
        <env name="APP_ENV" value="testing"/>
    </php>
</phpunit>

2. Slim 애플리케이션 테스트 전략

Slim 앱을 테스트할 때는 실제 서버(Apache/Nginx)를 띄우거나 Postman을 사용할 필요가 없습니다. 대신, 코드 상에서 가짜(Mock) PSR-7 Request 객체를 생성하여 Slim의 $app->handle($request) 코어 메서드에 직접 주입(Inject)하고, 그 결과로 튀어나오는 Response 객체를 검사하는 '인메모리(In-Memory) 테스트' 방식을 사용합니다.

주요 Assertion (검증) 메서드	동작 원리 및 사용처
`assertSame($expected, $actual)`	HTTP 상태 코드(200, 404 등)나 헤더 값이 기대한 것과 정확히 일치(===)하는지 엄격하게 검사합니다.
`assertJson($string)`	응답 바디 문자열이 문법적으로 유효한 JSON 포맷인지 확인합니다. API 테스트에 필수입니다.
`assertStringContainsString()`	응답 바디(문자열) 내에 특정 에러 메시지나 성공 키워드가 포함되어 있는지 느슨하게 검사합니다.

3. 실제 테스트 코드 작성

tests/UserApiTest.php 파일을 생성하고, PHPUnitFrameworkTestCase를 상속받는 테스트 클래스를 작성합니다. 모든 테스트 케이스 메서드 이름은 반드시 test로 시작해야 인식됩니다.

<?php
use PHPUnit\Framework\TestCase;
use Slim\Factory\AppFactory;
use Slim\Psr7\Factory\ServerRequestFactory;

class UserApiTest extends TestCase
{
    // 테스트용 Slim App 인스턴스를 메모리에 생성하는 헬퍼 메서드
    protected function getApp() {
        $app = AppFactory::create();
        
        // 실제로는 require 'routes.php'; 로 가져옵니다.
        $app->get('/api/users', function ($req, $res) {
            $res->getBody()->write(json_encode(['status' => 'success']));
            return $res->withHeader('Content-Type', 'application/json')->withStatus(200);
        });
        
        return $app;
    }

    public function testGetUsersReturnsSuccess()
    {
        $app = $this->getApp();

        // 1. Arrange (준비): 가짜(Mock) GET /api/users PSR-7 요청 객체 생성
        $requestFactory = new ServerRequestFactory();
        $request = $requestFactory->createServerRequest('GET', '/api/users');

        // 2. Act (실행): 애플리케이션 코어에 가짜 요청을 밀어넣고 결과 응답 획득
        $response = $app->handle($request);

        // 3. Assert (검증): 예상된 결과와 실제 결과 비교
        $this->assertSame(200, $response->getStatusCode());

        $body = (string) $response->getBody();
        $this->assertJson($body);
        $this->assertStringContainsString('success', $body);
    }
}

💡 PHPUnit 실행 및 검증

터미널에서 ./vendor/bin/phpunit 명령을 실행하면, tests/ 디렉터리 내의 모든 테스트 코드를 자동으로 찾아 실행합니다. 테스트가 모두 통과하면 초록색 OK 메시지가, 단 하나라도 실패하면 빨간색 FAILURES 메시지와 실패 원인이 출력됩니다.

PHPUnit CLI 러너(Runner) 시뮬레이터

하단의 시뮬레이터 버튼을 눌러, 실제 개발 환경의 터미널(bash)에서 PHPUnit이 실행될 때 테스트 결과(성공 시의 쾌감과 실패 시의 에러 추적)가 콘솔에 어떻게 출력되는지 체험해 보세요.

bash

<div class="phpunit-demo">
  <h3 style="margin-top:0; font-size: 1.25rem; color: #f8fafc;">🧪 PHPUnit 테스트 러너 시뮬레이터</h3>
  <p style="color:#94a3b8; font-size:0.85rem; margin-bottom:15px;">코드를 수정한 뒤 터미널에서 <code>phpunit</code> 명령을 실행했을 때, 테스트 성공/실패 결과가 콘솔에 어떻게 출력되는지 확인해 보세요.</p>
  
  <div class="controls">
    <button id="btnRunSuccess" class="btn primary">테스트 실행 (전원 통과 시나리오)</button>
    <button id="btnRunFail" class="btn danger">테스트 실행 (의도적인 에러 주입 시나리오)</button>
    <button id="btnReset" class="btn outline">터미널 지우기</button>
  </div>
  
  <div class="terminal-window">
    <div class="terminal-header">
      <div class="circles">
        <span class="circle red"></span>
        <span class="circle yellow"></span>
        <span class="circle green"></span>
      </div>
      <div class="terminal-title">bash - ./vendor/bin/phpunit</div>
    </div>
    <div class="terminal-body" id="terminalOutput">
      <div class="term-line prompt">guest@minstudio:~$ </div>
    </div>
  </div>
</div>