보안
-
[OAuth 2.0 API 보안] API 게이트웨이를 이용한 에지 보안보안/인증, 인가 2022. 6. 2. 19:07
API 게이트웨이를 이용한 에지 보안 API 게이트웨이는 운영 환경의 배치에서 API를 보호하는 가장 일반적인 패턴이다. API 배치의 시작점이며 중앙에서 인증, 권한 부여, 제한 정책을 시한하는 정책 시행 지점(PEP)이다. 1. Zuul API 게이트웨이 설정, 넷플릭스 Zuul API 게이트웨이 배치 Zuul은 동적 라우팅, 모니터링, 복원력, 보안 등을 제공하는 API 게이트웨이이다. 넷플릭스 서버 인프라의 최전방에 존재하며 트래픽을 처리 요청 라우팅 개발자의 테스팅과 디버깅 지원 넷플릭스 전반적인 서비스의 상태 확인 및 보호 리전 문제 발생시 리전 이동API 서버 실행 1.1. Zuul API 게이트웨이 실행 org.springframework.cloud spring-cloud-starter-z..
-
[OAuth 2.0 API 보안] API 보안 설계보안/인증, 인가 2022. 5. 9. 18:50
OAuth 2.0 1. 데이터 유출의 3가지 원인 연결성 최근 기업체들에선 많은 API나 시스템을 연동한다. 여기에는 보안적 결함이 존재하는 레거시 시스템들도 포함된다. 확장성 최근의 시스템들은 확장의 용이성을 고려하여 설계, 제작된다. 새롭게 추가되는 소스코드들의 기능은 브라우저와 같은 곳에서 보안 요소의 우회를 발생시킬 수 있다. 복잡성 복잡성으로 인해 파악되지 못한 취약점이 다수 존재할 수 있다. 복잡성은 유지보수의 난이도 상승으로 연결되어 수정하기 힘든 취약점이 다수 존재할 수 있다. 2. API 설계에서 고려할 점 사용자 경험 강한 보안 요소를 적용시키기 위해 사용자의 편의성을 과도하게 침범하면 안 된다. 나쁜 사례 : 과도한 비밀번호 조건 좋은 사례 : FaceID 성능과 비용 접근 키가 필요..