.NET Framework: 193. 페이스북(Facebook) 계정으로 로그인하는 C# 웹 사이트 제작
; https://www.sysnet.pe.kr/2/0/953

.NET Framework: 198. 윈도우 응용 프로그램에 Facebook 로그인 연동
; https://www.sysnet.pe.kr/2/0/970

.NET Framework: 245. ASP.NET 서버 측 코드에서 페이스북 계정 연동하는 방법
; https://www.sysnet.pe.kr/2/0/1143

개발 환경 구성: 313. Nuget Facebook 라이브러리를 이용해 ASP.NET 웹 폼과 로그인 연동하는 방법
; https://www.sysnet.pe.kr/2/0/11182

개발 환경 구성: 436. 페이스북 HTTPS 인증을 localhost에서 테스트하는 방법
; https://www.sysnet.pe.kr/2/0/11855

개발 환경 구성: 482. Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙
; https://www.sysnet.pe.kr/2/0/12189

닷넷: 2201. C# - Facebook 연동 / 사용자 탈퇴 처리 방법
; https://www.sysnet.pe.kr/2/0/13526

Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙

페이스북 로그인을 위한 OAuth 요청 시 대개 다음과 같은 형식의 URL을 보냅니다.

매개변수 중에 "redirect_uri" 관련해서 예전에 한 번 설명한 적이 있는데,

페이스북 HTTPS 인증을 localhost에서 테스트하는 방법
; https://www.sysnet.pe.kr/2/0/11855

위의 글에서도 언급했지만 (이제는 강제 적용된) "리디렉션 URI에 Strict 모드 사용"과 겹치면 "redirect_uri"로 가능한 값은 "유효한 OAuth 리디렉션 URI"에 등록한 것으로 제한됩니다. 여기서 문제는, 웹 페이지에서 현재 상태를 유지하고 싶을 때입니다. 가령 여러분들이 다음과 같은 페이지를 방문한다고 가정해 보겠습니다.

https://yoursite.com/product/view/5100

그럼 페이스북 인증을 위해 해당 URL의 도메인 명을 등록할 것이고,

유효한 OAuth 리디렉션 URI
https://yoursite.com/

이렇게 페이스북 로그인 처리가 되면, 사용자는 이전에 보고 있던 페이지가 아닌 "/" 루트 페이지로 원치 않은 이동을 하게 됩니다. 만약, 현재 페이지를 유지하기 위해 redirect_uri을 다음과 같이 제공하면,



이것은 "유효한 OAuth 리디렉션 URI"에 등록한 "https://yoursite.com/"과 일치하지 않기 때문에 로그인에 실패하면서 다음과 같은 메시지를 사용자 웹 브라우저에서 보게 되고,



위의 메시지 상자와 함께 제공되는 "확인" 버튼을 누르면 메시지만 바뀌며 이후 계속 반복됩니다.



물론, 이 문제를 해결하기 위해 해당 URL을 추가 등록해도 됩니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com/
https://yoursite.com/product/view/5100

하지만 가능한 설정이 무수히 많은 상황에서 저런 URL을 모두 등록하는 것은 현실적으로 불가능하다고 봐야 됩니다.

---

그럼, 이 문제를 어떻게 해결할 수 있을까요? 바로 이럴 때, "state" 매개변수를 사용할 수 있습니다.



원래 facebook의 개발자 문서에서는,

로그인 보안 - State 매개변수
; https://developers.facebook.com/docs/facebook-login/security/#stateparam

이에 대해 다음과 같이 설명하고 있습니다.



왠지 state 매개변수는 CSRF를 위한 목적으로만 사용해야 할 것 같은데, 사실 이 값은 oauth 절차에서 사용자 사이트와 facebook 간에 그대로 보존되는 특징이 있기 때문에 상태 정보를 유지하는 방법으로 사용할 수 있습니다. 실제로 이에 대해서는 위의 문서에서 "Strict 모드 활성화"를 다루며 다음과 같이 설명하고 있습니다.

• 앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
• 앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

따라서, "https://yoursite.com/product/view/5100"과 같은 URL의 경우에는 개발자가 "state" 구성을 (임의 재량으로) 다음과 같은 구성으로 바꿔,

category=product,mode=view,id=5100

이렇게 OAuth 요청을 하면 됩니다.



그럼, facebook은 로그인 처리 후 redirection을 다음과 같은 형식의 URL로 구성해 전달해 주므로,

https://yoursite.com?code=...&state=category=product,mode=view,id=5100

개발자는 "state" 매개변수를 읽어 사용자가 방문하고 있었던 "https://yoursite.com/product/view/5100" URL로 조합해 다시 redirection을 해주면 됩니다.

---

"유효한 OAuth 리디렉션 URI"에는 매개변수를 포함한 URL도 등록할 수 있습니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product

당연히, OAuth 요청의 redirect_uri도 정확히 위의 URL과 일치해야만 합니다.



주의할 점은, Facebook의 OAuth가 처리해 주는 매개변수는 오직 1개만 가능하다는 점입니다. 이 때문에 "유효한 OAuth 리디렉션 URI"에 2개의 매개변수를 등록해도,

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product&mode=view

Facebook은 "https://yoursite.com/?category=product" 이것까지만 인식하게 되고, 로그인 처리 후 redirection도 mode=view 매개변수가 제거된 체로 넘어오게 됩니다.

---

사실 처음에 저는 이 문제를 "URI 리디렉션 유효성 검사기(Redirect URI Validator)"의 등록으로,



가능할 거라 봤습니다. 즉, 페이스북은 아마도 저 callback URL을 우리가 전달한 redirect_uri 값과 함께 호출해 줄 것이고 따라서 적절한 값을 반환하는 페이지를 제공한다면 되지 않을까?...라고 생각했는데 아쉽게도 저 Validator를 구현하는 어떤 코드도 찾지 못했습니다. (사실, 어떤 용도인지 저는 아직도 잘 모르겠습니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^)

---

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 3/13/2020]
[최종 수정일: 3/14/2020]


이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com