Home Forums Job & Work Life

API 잘 아시는 분 질문 있습니다.

  • EditDeleteReply
    2020-11-0501:58:21 #3534315
    api 76.***.0.195 856

    회사에서 사용하는 마케팅 회사의 웹사이트에서 우리 회사 정보를 API로 받는 코딩을 작성하고 있는데
    로그인 할때 API key 와 Oath2의 방법이 있는데
    웹어플리케이션 develop 하는게 아니면 API KEY를 쓰면 된다고 알고 있는데
    Oauth2를 쓰는데 더 보안이 높은거여서 Oauth2 를 쓰고 싶은데요.

    실제로 웹어플리케이션은 안쓰지만 그냥 Oauth 등록하는데 회사 웹사이트 만 걸어나도 Oauth 는 생성이 되는거 같은데
    정보 import & export 용으로만 하는 코딩에 Oauth를 회사 웹사이트 걸어놓고 써도 괜찮을까요?

    상사가 이거 보안은 어떻게 되는거냐고 물어봐서 웹개발 아니여서 API key 쓸거라고 만 했는데
    이왕이면 보안이 높은 Oauth2를 쓰고 싶은데 이런 경우 보통 어떻게 하시는지 궁금합니다.

    답변 미리 감사드립니다.

    • EditDeleteReply
      지나가다 76.***.240.73 2020-11-0509:52:44

      Oauth2 는 로긴할때마다 그때 그때 새로운 토큰을 만들어서 그걸로 로긴하는 방법입니다. Class를 따로 만들어서 연결할때마다 그걸통해 값을 주고 받으면 됩니다. 대부분 큰 회사들 api는 다 그방식으로 연결합니다. 님이 서버를 제공해야 하는 입장이라면 만드는데 쉽지는 않을겁니다. 조금 쉬운 방법은 login token 을 일년에 한번씩 갱신해주고 상대방 ip address를 우리서버에 whitelist에 등록하는 방법입니다.

    • EditDeleteReply
      Acc 76.***.0.195 2020-11-0510:26:44

      답변 감사드립니다. 제가 서버를 제공해야되는건 아니고 데이터 분석용으로 데이터를 뽑고 있는데 이 분야는 해본게 아니라서 따라하는게 쉬워보이지는 않지만 말씀하신 부분 찾아봐서 시도해봐야겠습니다 진짜 보안이 너무 중요하니까요

      • EditDeleteReply
        O2 74.***.93.147 2020-11-0513:05:08

        oauth2로 바꾼다고 security가 더 강화되는 게 아닙니다. api key를 header를 통해 전달하도록 하면, api key와 oauth2는 security 보호 수준이 같아요.

        authentication/authorization 방법의 security 보호 수준을 확인하려면 security-at-rest (저장소에서의 api key 보호 수준), security-in-transit (송신 중 api key 보호 수준) 두 가지를 보면 되는데요.

        security-in-transit을 먼저 보면요.

        oauth2가 제공하는 프로토콜을 따라가면 마지막에는 데이터 retrieval을 위해 api key와 같은 방식을 사용합니다. 결국 api key (oauth2 용어로는 access token)를 헤더를 통해 제공하고 http post 호출을 하는 겁니다. 그냥 둘 다 SSL/TLS에 의지하는 것이므로 보호 수준이 동일합니다. 어떤 추가 encryption 같은 게 있지 않아요.

        oauth2를 그럼 왜 쓰느냐 하면 패스워드를 3rd party에게 제공하지 않으면서 3rd party에게 권한을 위임을 할 수 있는 표준이기 때문이고요. 그러면서 어떤 권한을 위임할 것인지도 resource owner가 정할 수 있는 (scope라 불리는) 방법을 제공합니다.

        지금 원글이 말씀하시는 것으로 볼 때, 권한은 이미 정해져 있어서 oauth2가 제공하는 scope (여러 권한 가운데 허락할 권한을 고르도록 하는 기능)가 필요한 상황이 아니고, 데이터의 retriever와 consumer가 동일한 상황인 것 같기 때문에 위임이 필요한 상황도 아니죠. 그럼 oauth2를 쓰는 건 보안 수준을 높이는 것도 아니면서 불필요한 복잡도를 추가하는 것이죠. api key가 적당한 상황입니다.

        oauth2로 가야하는 조건은, 그 마케팅 회사가 직접 자기네 고유의 서비스를 제공하면서 그 서비스가 원글 회사의 데이터를 사용해야 하는 경우입니다. 그때는 oauth2가 최선이고 적당한 서비스입니다.

        security-at-rest를 보면요.

        큰 오류는 아니지만, 위엣분 답장을 약간 수정하고 싶네요. 일반적으로는 로그인할 때마다 새 access token을 (api key에 해당하는) 만들지는 않습니다. 한번 만든 토큰을 꽤 오랜 기간 재사용합니다 (그 기간은 token issuer가 지정하는데, 예를 들면 1일, 1주일, 1달, 6개월 같은 식입니다. 게다가 access token을 3rd party에게 발행할 때 access token을 자동 갱신할 수 있는 권한까지 함께 3rd party에게 줍니다.

        예를 들어 online diagramming 서비스를 제공하는 회사가 google drive에 저장하고 싶다고 하면, google은 access token과 access token을 갱신할 수 있는 권한 두 가지를 한꺼번에 online diagramming 서비스 회사에게 주죠. 물론 읽기만 허락할 것인지, 읽고 쓰기를 모두 허락할 것인지 (즉 scope 지정)에 대해, 사용자가 허락 버튼을 눌러줘야 하고요. 그런데 일단 허락 버튼을 누르고 나면 그 다음부터는 다시 허락 버튼을 누르지 않아도 되는 걸 볼 수 있죠? 그 이유는 online diagramming 서비스 회사가 access token과 그 access token을 갱신할 수 있는 권한 (refresh token이라 불리는)을 함께 저장하고 있기 때문입니다.

        여기서 refresh token은 access token을 갱신하기 위한 패스워드의 역할을 하기 때문에 refresh key를 탈취당하면 api key, access token을 탈취당하는 것과 같습니다. 즉 저장된 api key를 노출되지 않게 잘 관리하는 문제와 refresh token을 잘 관리하는 문제는 security 보호 수준에서 볼 때 똑같아요. oauth2가 online protocol만 다루기 때문에, 저장소에서 access token, refresh token이 보호되느냐 안 되느냐 하는 걸 oauth2에게 따질 문제는 아닙니다만.

        종합적으로 판단하는 기준은, oauth2가 제공하는 위임 기능이 필요한가? 3rd party에게 허락할 권한의 종류가 여러 개이고 사용자에게 그 중 하나를 고르도록 허용할 것인가 (즉 scope가 필요한가)? 에 대답이 하나라도 Yes 이면 oauth2로 갈 이유가 됩니다.

        access token (or api key) 발행 후 ip whitelisting 하기가 지금 원글의 요구 사항을 구현하는 데 적당하다는 위엣분 말씀에 저도 의견을 같이합니다.

    • EditDeleteReply
      Api 76.***.0.195 2020-11-0516:32:46

      와우 자세하고 훌륭한 답변 감사드립니다
      얘기해주신 부분 하나 하나 짚어가며 고민해보겠습니다