REST API KEY 이거 그냥 보여도 되나요?

anon7950225 · 11월 30, 2022, 6:42오전

function logout(){
      $acctoken = $this->api->access_token;
      if($acctoken != null){
        $REST_API_KEY = $this->api->client_id;
        $LOGOUT_REDIRECT_URI = "https://mydomain.com/bbs/logout.php";
        $url = urldecode("https://kauth.kakao.com/oauth/logout?client_id={$REST_API_KEY}&logout_redirect_uri={$LOGOUT_REDIRECT_URI}");
    		$ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 10);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
        $profileResponse = curl_exec($ch);
        $status_code = curl_getinfo($ch);
        curl_close ($ch);
        $err_str = json_encode($status_code);
        error_log($err_str);
      }
}

그누보드에서 소셜 플러그인에서 카카오와 로그아웃 추가했는데 리턴값은 정상인데 카카오는 로그아웃이 안되어서요.
그래서 그냥 하드코딩 할려고 하는데 그러면 REST API KEY 들어나도 문제가 없나 해서요?

tim.l · 11월 30, 2022, 7:11오전

안녕하세요.

카카오 로그인은 여타 소셜로그인과 동일한 OAuth2 표준에 맞춰 기능 제공됩니다.

이에 따라 인가코드요청(authorize) 에 client_id파라메터는 앱키를 GET방식으로 전달하며 리다이렉트 되므로, 클라이언트 노출은 피할 수 없습니다. 이 밖에 요청자의 디벨로퍼스앱을 특정하는데 앱키가 활용됩니다.

다만, 앱키를 임의 사용할 수 없게
허용된 IP에서만 요청할 수있도록 “내 애플리케이션>고급 설정>허용 IP 주소” 설정기능을 제공하고 있습니다.

이밖에 보안 권장사항은 아래 내용 참고 부탁드립니다.

보안 권장사항 : Kakao Developers

REST API KEY 가 표시되는 것은 문제 없으나 허용된 IP에 서버 IP를 등록하셔서 사용하시면 좋을 것 같습니다.