안녕하세요
Kakao.init()에서 사용하는 app key의 보안에 대해 문의드립니다.
사용자가 볼 수 있는 클라이언트 html에서 호출함수와 키가 그대로 노출되면
악의적인 사용자가 해당 키를 도용해서 사용할 수 있나요?
보안적으로 한다면 서버에서 init() 함수를 호출하도록 변경을 해야 하나요?
답변 부탁드립니다.
안녕하세요
Kakao.init()에서 사용하는 app key의 보안에 대해 문의드립니다.
사용자가 볼 수 있는 클라이언트 html에서 호출함수와 키가 그대로 노출되면
악의적인 사용자가 해당 키를 도용해서 사용할 수 있나요?
보안적으로 한다면 서버에서 init() 함수를 호출하도록 변경을 해야 하나요?
답변 부탁드립니다.
JS SDK 초기화는 클라이언트에서 이루어져야 합니다. 서버에서 수행될 수 없습니다.
따라서 말씀주신대로 JS 키는 노출되는 키입니다.
이에 대해 JS SDK는 앱 설정에서 허용된 도메인에서만 동작하도록 하여 도용 등 악의적인 사용을 방지하고 있습니다.