Software Engineer, Java, Spring Boot, JAX-RS REST API, OAuth 2.0, Microservice, DevOps

Google API Console Google API Console은 구글이 제공하는 방대한 API를 클라이언트 입장에서 통합 관리할 수 있게 해주는 웹 서비스로 2010년 개시하였다. OAuth 2.0 client_id 발급 Google API를 이용하기 위해서는 가장 먼저 개인 또는 회사(유료 플랜 이용시 권장) 명의의 Google 계정이 필요하다. 하나의 구글 계정으로 최대 10개의 프로젝트를 생성할 수 있다. 프로젝트를 생성하면 project_number(ex: 257124386236)를 부여 받는데 각 API 이용시 App ID로 사용된다. 각 프로젝트마다 연관된 설정 가능한 정보를 묶어 resource라고 부른다. 가장 기본적인 정보로 project_name, project_id, projec..

온라인 토큰? 오프라인 토큰? Shopify는 본래 access_token으로 오프라인 토큰만이 존재했다. 오프라인 토큰이란 쇼핑몰 관리자가 쇼핑몰에 앱을 설치한 시점에 모든 권한 위임이 발생하면서 오직 하나의(재발급 요청이 없는 한) access_token으로 모든 로그인한 사용자가 같은 권한으로 앱의 기능을 사용하는 형태이다. (앱이 관리자에 의해 삭제될 때까지 유효하다.) 하지만 사용자에 따라 앱이 제공하는 기능을 제한할 필요가 있다. 앱 단위가 아닌 이러한 사용자 단위의 권한 위임을 제공하기 위한 방법으로 온라인 토큰이 도입되었다. (2016-10-20 적용) [관련 링크] 온라인 토큰 사용의 대표 사례는 Orders Printer 앱이다. 현재 로그인한 사용자에 따라 사용할 수 있는 기능에 제한..

grant_type OAuth 2.0 프레임워크의 핵심은 다양한 클라이언트 환경에 적합한 인증 및 권한의 위임 방법(grant_type)을 제공하고 그 결과로 클라이언트에게 access_token을 발급하는 것이다. 한 번 획득된 access_token은 만료 시점까지 모든 리소스 서버의 엔드포인트 요청 헤더에 Authorization: Bearer {ACCESS_TOKEN}로 첨부된다. 사용자의 인증 과정에 개입하는 2가지 방식(authorization_code, implicit)과 사용자가 인증 과정에 개입하지 않는 2가지 방식(password, client_credentials)이 있다. 마지막으로 만료된 access_token을 재발급 받기 위한 refresh_token이 있다. authoriza..

개요 클라이언트는 API를 사용하는 소비자이다. 클라이언트는 웹 서버일 수도 있고 브라우저에서 작동하는 JS 애플케이션일 수도, 모바일 네이티브 앱일 수도 있다. 클라이언트의 종류와 성격에 따라 OAuth 2.0 사양은 각 상황에 적합한 4가지의 grant_type을 제공한다. 스키마 client.id String 시스템이 생성한 고유한 랜덤 문자열 (ex: 0jrabyQWm4B9zVJPbotY)클라이언트 등록시 생성되며 한 번 생성되며 변경이 불가능하다.외부에 노출될 수 있다. client.client_secret String client_id와 더불어 인증 수단으로 쓰이는 씨크릿 코드 (ex: 5W7XULCEs4BJKnWUXwh8lgmeXRhcGcdViFp84pWe)클라이언트의 요청에 의해 재발급이 ..

개요 인증된 사용자만 API에 접근하게 하려면 API 보안이 매우 중요하다. 스코프(Scope)는 클라이언트에게 허용된 리소스의 범위를 저장한다.스코프는 엔드포인트와 1:1 관계가 아니다. 1개의 엔드포인트가 여러 개의 스코프를 가질 수 있고 여러 개의 엔드포인트가 1개의 스코프를 가질 수도 있다. 엔드포인트를 제공하는 리소스 서버는 인증 서버가 제공하는 허용 스코프에 따라 정보를 가공하여 응답해야할 의무가 있다.grant_type이 authorization_code, implicit 방식의 인증은 클라이언트 등록시 요청된 Scope에서 사용자가 동의한 항목만 Scope로 결정되어 최종적으로 access_token에 담겨진다. 스키마 scope.id String 시스템이 생성한 고유한 랜덤 문자열 (ex..

API 인증과 권한부여 API 서비스의 핵심은 클라이언트에게 데이터를 제공하는 데 있다. 클라이언트가 없는 API 서비스는 존재할 수 없다. 집에 들어가려면 열쇠가 필요하듯이 API 서비스도 아무에게나 함부로 데이터를 제공할 수 없다. 문을 두드린 클라이언트가 들여보내도 되는지(인증 = Authentication), 들여보낸다면 데이터 범위를 어디까지 제공할 것이지(권한부여 = Authorization) 판단할 수 있는 수단이 필요하다. OAuth 2.0 OAuth 2.0은 API를 사용하는 클라이언트에 대한 권한 부여 및 위임(Authorization)에 관한 사양(Specification)이다. OAuth 2.0의 권한 부여 및 위임 과정에서 클라이언트 사용자의 인증을 필요로 하지만 이를 어떻게 다루..