이전 장에서는 API 기반 시스템을 위협 모델링하는 방법과 OWASP API 보안 톱 10에 대해 배웠습니다. 참석자 API는 외부로부터 트래픽을 수신할 준비가 되었지만 API의 소비자는 정확히 어떻게 식별될까요? 이번 장에서는 API의 인증과 권한 부여에 대해 알아보겠습니다. 인증은 호출자가 누구인지 알려주고 권한 부여는 호출자가 무엇을 할 수 있는지를 알려줍니다.
먼저 API에 대한 인증 및 권한 부여가 무엇인지 살펴보고, API 보안의 중요성과 API 키 및 토큰 사용의 잠재적 제한 사항을 살펴봅니다. OAuth2는 2012년에 도입된 토큰 기반 인증 프레임워크로, API를 보호하고 애플리케이션이 API에 대해 수행할 수 있는 작업을 결정하는 업계 표준으로 빠르게 자리 잡았습니다.
이 장의 대부분은 OAuth2와 최종 사용자 및 시스템 기반 상호작용 모두를 위해 제공되는 다양한 보안 접근 방식에 초점을 맞출 것입니다. API 소비자는 때때로 자신이 대신하여 행동하는 사용자의 세부 정보를 알아야 할 필요가 있는데, 이를 달성하는 방법을 보여드리기 위해 OIDC를 소개합니다.
이 장에서는 CFP 시스템에서 외부에서 사용할 수 있도록 참석자 API를 준비하는 방법을 살펴봄으로써 보안에 대한 다양한 접근 방식을 설명합니다.
인증
인증 은 신원을 확인하는 행위입니다. 사용자의 경우, 가장 전통적인 방법은 사용자가 사용자 이름과 비밀번호의 형태로 자격 증명을 제시하는 것입니다. 이제 MFA(다단계 인증)가 표준 로그인 흐름의 일부가 되는 것이 일반화되고 있습니다. MFA는 사용자가 본인이 맞는지 더 높은 수준으로 확인하는 데 유용합니다. 기계 간 인증의 경우, 자격 증명은 키 또는 인증서 형태일 수 있습니다. 제시된 자격 증명의 신원을 확인함으로써 누가 시스템과 통신하려고 하는지를 파악할 수 있습니다.
참석자 서비스의 맥락에서 이를 살펴보겠습니다. 참석자 API에는 사용자가 보호받기를 기대하는 이름 및 이메일 주소와 같은 개인 식별 정보(PII)가 포함되어 있습니다. 이 정보를 보호하기 위해 첫 번째 단계는 API 호출자를 확인하고 확인하는 것입니다. 이 신원을 확인하는 것을 인증이라고 합니다. 호출자가 인증되면 참석자 API는 호출자가 액세스 및 검색할 수 있는 항목을 설정하는데, 이러한 유형의 자격 확인을 권한 부여라고 부릅니다.
그림 7-1은 참석자 API와의 상호작용을 보여줍니다. 모바일 애플리케이션은 API 게이트웨이를 통해 연결하고 참석자 API를 쿼리합니다. 또 다른 상호작용은 CFP 시스템과 유사한 경로를 따르지만 CFP 시스템은 타사가 소유합니다. 최종 사용자(모바일 애플리케이션 사용자 및 CFP 시스템 화자)를 인증하는 옵션과 시스템 간 상호작용(CFP 시스템)을 고려해보겠습니다.
그림 7-1. 보안 사례 연구
토큰을 사용한 최종 사용자 인증
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month, and much more.
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.
Julian F.
Head of Cybersecurity
I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.
Addison B.
Field Engineer
I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.
Amir M.
Data Platform Tech Lead
I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.
O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.