[ Xtech2007 참관기 ] Security and REST Web Services
2007. 05. 18 í…Œí¬ë†€ë¡œì§€ |
Security and REST Web Services
Richard Mooney (Vordel)
This session answers two questions: Are REST Web Services inherently insecure? How can a security model apply to both SOAP and REST Web Services?
RESTë°©ì‹ì€ ì œê°€ ì œì¼ ì„ í˜¸í•˜ëŠ” Open API 아키í…처 패턴입니다. ê°„íŽ¸í•˜ê³ ë”°ë¡œ 배울 필요가 없으며 비용 대비 효과가 í¬ê¸° 때문입니다. ì‹¤ì œ 씽í¬í”„리 Open APIë„ ê±°ì˜ REST íŒ¨í„´ì„ ë”°ë¥´ê³ ìžˆê³ ì•žìœ¼ë¡œë„ ê·¸ëŸ´ ì˜ˆì •ìž…ë‹ˆë‹¤.
Vordelì˜ ì•„í‚¤í…ì²˜ì¸ Richard Mooney 는 ì´ëŸ¬í•œ REST를 SOAP 비êµí•˜ê³ ë³´ì•ˆì— ëŒ€í•´ 세션ì—ì„œ ì •ë¦¬ë¥¼ 했습니다. 그냥 편안히 ë“£ê³ ê³ ê°œë§Œ ë„ë•ì´ê³ ë§ì•˜ë„¤ìš”^-^ ë 당연한 거니까…
ì‹¤ì œ REST ë°©ì‹ì—ì„œ GETì„ ë„ˆë¬´ 무ê²ê²Œ 사용하거나 서버 ìƒíƒœë¥¼ 변하게 하는 경우가 ìžˆë‹¤ê³ í•©ë‹ˆë‹¤. ê·¸ëŸ°ë° ì‚¬ì‹¤ ì´ëŸ° 경우는 설계가 잘못ëœê²ƒì´ì§€ ê¸°ìˆ ì ì¸ ë¬¸ì œëŠ” 아닙니다. RESTì˜ ì„¤ê³„ ë°©ë²•ì— ëŒ€í•´ì„œëŠ” ì œê°€ ì •ë¦¬í•œ ê¸€ì„ ì°¸ì¡°í•˜ì„¸ìš”.
하여간 ê²°ë¡ ì€ HTTP Query Stringì„ ë¯¿ì§€ ë§ë¼ëŠ” 것입니다!! ë™ê°ìž…니다. ëê°€ ì‹¤ë ¤ì˜¬ì§€ 어떻게 ì‹ ë¢°í• ì§€ìš”! ë”°ë¼ì„œ 기존 웹 표준 ë°©ë²•ì„ RESTì— ì ìš©í•´ì„œ ì´ë¥¼ ì‹ ë¢°í•˜ê²Œ 만들어야 합니다.
여러 RESTìƒì˜ 보안 방안들
1)URLì— ACLì„ ê±¸ì–´ ê¶Œí•œì„ ì²´í¬í•œë‹¤.
2)SQL injection 처럼 URL QueryStringì— ë¬¸ì œ 소지가 있기 ë•Œë¬¸ì— ì´ë¥¼ í•„í„°ë§í•˜ì—¬ ì²´í¬í•œë‹¤.
3)URLì„ ë¡œê¹…í•œë‹¤. ì•„ì‹œê² ì§€ë§Œ SSLì„ ê±¸ë©´ ìžë™ìœ¼ë¡œ URLì— ëŒ€í•œ ë¡œê¹…ì´ ë©ë‹ˆë‹¤.
4)아마존 등ì—ì„œ 사용하는 방법으로 Developer Token(Secret Access Key ID)ì„ ì‚¬ìš©í•˜ì—¬ ì¸ì¦ì„ 한다.
ê·¸ëŸ°ë° êµë‚´ í¬íƒˆë“¤ì˜ Open API는 어떻게 개발ë˜ì—ˆë‚˜ìš”? í¬ê²Œ ê´€ì‹¬ì´ ì—†ì–´ ë³¼ 기회가 없었네요..누가 좀 ì•Œë ¤ì£¼ì„¸ìš”..
