엑세스 토큰 보안 관련 문의입니다

안녕하세요. REST API를 사용하여 로그인 기능을 구현하고 있습니다.

엑세스 토큰 보안때문에 질문 드립니다.

A 앱에서 인가 코드를 통해 12345 엑세스 토큰을 발급 받았습니다.

이 12345 엑세스 토큰을 사용하여 B앱에서 사용자 정보를 호출해도 정상적으로 사용자 정보가 조회가 되나요??

(클라이언트쪽에서 엑세스 토큰을 탈취 당했을때에 보안 이슈 때문에 질문 드립니다…)

감사합니다

안녕하세요.

조회가 됩니다.

그래서 두가지 추가 보안 방법을 제공합니다.


토큰 발급에 제한을 주고

첫째, 디벨로퍼스에서 client_secret 을 활성화하여 설정된 시크릿 코드를 추가 파라메터로 전달해야 토큰 발급 가능하도록 할 수 있습니다.

둘째, CSRF 공격을 차단하기 위해 인가 요청 시 State파라메터에 난수를 전달하면 리다이렉트 URI에서 그대로 받을 수 있습니다.
토큰 요청에 사용되는 인가 코드 외에 State 파라메터의 난수가 일치하는 경우만 토큰 발급하고


토큰 사용에 제한을 줍니다.

캐시 서버에 액세스 토큰과 State 파라메터의 난수를 pair로 관리하여 API 호출 전, 난수 체크를 하는 방법이 있습니다.
난수 체크 외에도 pair 정보에 state난수 생성자의 ip, 도메인 등을 저장하여 호출자의 추가 정보가 일치하는지 체크 하기도합니다.
이부분은 소유하신 시스템에 직접 구현하셔야합니다.

  • 추가 : 디벨로퍼스 "내 애플리케이션>고급 설정>허용 IP 주소"에 IP를 등록하시면 등록된 IP에서만 API호출이 가능합니다.

참고 부탁드려요~