Application 앱키(Application key) 중 Admin key는 보안이 취약해서도 안되고 노출이 되서도 안된다고하는데
그럼 네이티브앱키, REST API키, 자바스크립트키는 노출이 되어도 상관없나요?
저는 자바스크립트키를 이용하는데, Kakao.init(“APP_KEY”) 함수를 사용할 때 앱키가 브라우저 디버깅툴을 통해 노출될 수 있을것같은데, 이에 대해 앱키 노출을 막는 특별한 대책을 적용해야 하는지 궁금합니다.
가급적 앱키는 가능하다면 노출되지 않도록 하는것이 좋습니다. JS의 경우 노출이 될 가능성이 크지만, 자체 플랫폼에서 site domain등의 더블 체킹을 통해 보안을 강화하고 있습니다. 불가피한 상태에서는 app key 를 re-gen 가능합니다.
즉, 일반적으로 플랫폼 내부적으로 앱키의 노출을 대비한 보안 레벨이 갖추어져 있지만 사용하시는곳에서도 조심을 하면 좋습니다.
admin key의 경우 다른 앱키와는 다르게 좀 더 권한/허용되는 기능이 많이 있습니다. 따라서 좀 더 보안에 신경을 써 주시는 것이 좋아요.