Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙

페이스북 로그인을 위한 OAuth 요청 시 대개 다음과 같은 형식의 URL을 보냅니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code


매개변수 중에 "redirect_uri" 관련해서 예전에 한 번 설명한 적이 있는데,

페이스북 HTTPS 인증을 localhost에서 테스트하는 방법
; https://www.sysnet.pe.kr/2/0/11855

위의 글에서도 언급했지만 (이제는 강제 적용된) "리디렉션 URI에 Strict 모드 사용"과 겹치면 "redirect_uri"로 가능한 값은 "유효한 OAuth 리디렉션 URI"에 등록한 것으로 제한됩니다. 여기서 문제는, 웹 페이지에서 현재 상태를 유지하고 싶을 때입니다. 가령 여러분들이 다음과 같은 페이지를 방문한다고 가정해 보겠습니다.

https://yoursite.com/product/view/5100

그럼 페이스북 인증을 위해 해당 URL의 도메인 명을 등록할 것이고,

유효한 OAuth 리디렉션 URI
https://yoursite.com/

이렇게 페이스북 로그인 처리가 되면, 사용자는 이전에 보고 있던 페이지가 아닌 "/" 루트 페이지로 원치 않은 이동을 하게 됩니다. 만약, 현재 페이지를 유지하기 위해 redirect_uri을 다음과 같이 제공하면,

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/product/view/5100&response_type=code


이것은 "유효한 OAuth 리디렉션 URI"에 등록한 "https://yoursite.com/"과 일치하지 않기 때문에 로그인에 실패하면서 다음과 같은 메시지를 사용자 웹 브라우저에서 보게 되고,

URL blocked: This redirect failed because the redirect URI is not white-listed in the app's client OAuth settings. Make sure that the client and web OAuth logins are on and add all your app domains as valid OAuth redirect URIs.

차단된 URL: 리디렉션 URI가 앱의 클라이언트 OAuth 설정의 화이트리스트에 없으므로 리디렉션하지 못했습니다. 클라이언트 및 웹 OAuth 로그인이 설정되었는지 확인하고 모든 앱 도메인을 유효한 OAuth 리디렉션 URI로 추가하세요.


위의 메시지 상자와 함께 제공되는 "확인" 버튼을 누르면 메시지만 바뀌며 이후 계속 반복됩니다.

Can't load URL: The domain of this URL isn't included in the app's domains. To be able to load this URL, add all domains and sub-domains of your app to the App Domains field in your app settings.

URL을 읽어들일 수 없음: 앱 도메인에 포함되어 있지 않은 URL입니다. 이 URL을 읽어들이려면 앱 설정에서 앱 도메인 필드에 앱의 모든 도메인과 서브 도메인을 추가하세요.


물론, 이 문제를 해결하기 위해 해당 URL을 추가 등록해도 됩니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com/
https://yoursite.com/product/view/5100

하지만 가능한 설정이 무수히 많은 상황에서 저런 URL을 모두 등록하는 것은 현실적으로 불가능하다고 봐야 됩니다.




그럼, 이 문제를 어떻게 해결할 수 있을까요? 바로 이럴 때, "state" 매개변수를 사용할 수 있습니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code&state={...state...}


원래 facebook의 개발자 문서에서는,

로그인 보안 - State 매개변수
; https://developers.facebook.com/docs/facebook-login/security/#stateparam

이에 대해 다음과 같이 설명하고 있습니다.

웹사이트에 Facebook 로그인 대화 상자를 사용하는 경우 state 매개변수는 사이트 간 요청 위조 공격으로부터 앱을 보호하는 고유 문자열입니다.


왠지 state 매개변수는 CSRF를 위한 목적으로만 사용해야 할 것 같은데, 사실 이 값은 oauth 절차에서 사용자 사이트와 facebook 간에 그대로 보존되는 특징이 있기 때문에 상태 정보를 유지하는 방법으로 사용할 수 있습니다. 실제로 이에 대해서는 위의 문서에서 "Strict 모드 활성화"를 다루며 다음과 같이 설명하고 있습니다.

  • 앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
  • 앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

따라서, "https://yoursite.com/product/view/5100"과 같은 URL의 경우에는 개발자가 "state" 구성을 (임의 재량으로) 다음과 같은 구성으로 바꿔,

category=product,mode=view,id=5100

이렇게 OAuth 요청을 하면 됩니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com&response_type=code&state=category=product,mode=view,id=5100


그럼, facebook은 로그인 처리 후 redirection을 다음과 같은 형식의 URL로 구성해 전달해 주므로,

https://yoursite.com?code=...&state=category=product,mode=view,id=5100

개발자는 "state" 매개변수를 읽어 사용자가 방문하고 있었던 "https://yoursite.com/product/view/5100" URL로 조합해 다시 redirection을 해주면 됩니다.




"유효한 OAuth 리디렉션 URI"에는 매개변수를 포함한 URL도 등록할 수 있습니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product

당연히, OAuth 요청의 redirect_uri도 정확히 위의 URL과 일치해야만 합니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/?category=product&response_type=code


주의할 점은, Facebook의 OAuth가 처리해 주는 매개변수는 오직 1개만 가능하다는 점입니다. 이 때문에 "유효한 OAuth 리디렉션 URI"에 2개의 매개변수를 등록해도,

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product&mode=view

Facebook은 "https://yoursite.com/?category=product" 이것까지만 인식하게 되고, 로그인 처리 후 redirection도 mode=view 매개변수가 제거된 체로 넘어오게 됩니다.




사실 처음에 저는 이 문제를 "URI 리디렉션 유효성 검사기(Redirect URI Validator)"의 등록으로,

facebook_state_queryparam_1.png

가능할 거라 봤습니다. 즉, 페이스북은 아마도 저 callback URL을 우리가 전달한 redirect_uri 값과 함께 호출해 줄 것이고 따라서 적절한 값을 반환하는 페이지를 제공한다면 되지 않을까?...라고 생각했는데 아쉽게도 저 Validator를 구현하는 어떤 코드도 찾지 못했습니다. (사실, 어떤 용도인지 저는 아직도 잘 모르겠습니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^)




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 3/14/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  [4]  5  6  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12213정성태5/3/2020432개발 환경 구성: 488. (코드로 가상 USB 장치를 만들 수 있는) USB/IP PROJECT 소개
12212정성태5/1/2020246개발 환경 구성: 487. UEFI / Secure Boot 상태인지 확인하는 방법
12211정성태4/27/2020367개발 환경 구성: 486. WSL에서 Makefile로 공개된 리눅스 환경의 C/C++ 소스 코드 빌드
12210정성태4/20/2020528.NET Framework: 903. .NET Framework의 Strong-named 어셈블리 바인딩 (1) - app.config을 이용한 바인딩 리디렉션 [1]파일 다운로드1
12209정성태4/13/2020292오류 유형: 614. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우 (2)
12208정성태4/12/2020353Linux: 29. 리눅스 환경에서 C/C++ 프로그램이 Segmentation fault 에러가 발생한 경우
12207정성태4/2/2020379스크립트: 19. Windows PowerShell의 NonInteractive 모드
12206정성태4/2/2020436오류 유형: 613. 파일 잠금이 바로 안 풀린다면? - The process cannot access the file '...' because it is being used by another process.
12205정성태4/2/2020327스크립트: 18. Powershell에서는 cmd.exe의 명령어를 지원하진 않습니다.
12204정성태4/1/2020269스크립트: 17. Powershell 명령어에 ';' (semi-colon) 문자가 포함된 경우
12203정성태3/18/2020517오류 유형: 612. warning: 'C:\ProgramData/Git/config' has a dubious owner: '...'.
12202정성태3/18/2020683개발 환경 구성: 486. .NET Framework 프로젝트를 위한 GitLab CI/CD Runner 구성
12201정성태3/18/2020359오류 유형: 611. git-credential-manager.exe: Using credentials for username "Personal Access Token".
12200정성태3/18/2020701VS.NET IDE: 145. NuGet + Github 라이브러리 디버깅 관련 옵션 3가지 - "Enable Just My Code" / "Enable Source Link support" / "Suppress JIT optimization on module load (Managed only)"
12199정성태3/17/2020303오류 유형: 610. C# - CodeDomProvider 사용 시 Unhandled Exception: System.IO.DirectoryNotFoundException: Could not find a part of the path '...\f2_6uod0.tmp'.
12198정성태3/17/2020355오류 유형: 609. SQL 서버 접속 시 "Cannot open user default database. Login failed."
12197정성태3/17/2020484VS.NET IDE: 144. .NET Core 콘솔 응용 프로그램을 배포(publish) 시 docker image 자동 생성 - 두 번째 이야기
12196정성태3/17/2020439오류 유형: 608. The ServicedComponent being invoked is not correctly configured (Use regsvcs to re-register).
12195정성태3/17/2020562.NET Framework: 902. C# - 프로세스의 모든 핸들을 열람 - 세 번째 이야기
12194정성태3/16/2020442오류 유형: 607. PostgreSQL - Npgsql.NpgsqlException: sorry, too many clients already
12193정성태3/16/2020412개발 환경 구성: 485. docker - SAP Adaptive Server Enterprise 컨테이너 실행
12192정성태3/14/2020558개발 환경 구성: 484. docker - Sybase Anywhere 16 컨테이너 실행
12191정성태3/14/2020823개발 환경 구성: 483. docker - OracleXE 컨테이너 실행 [1]
12190정성태3/14/2020296오류 유형: 606. Docker Desktop 업그레이드 시 "The process cannot access the file 'C:\Program Files\Docker\Docker\resources\dockerd.exe' because it is being used by another process."
12189정성태3/13/2020723개발 환경 구성: 482. Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙
12188정성태3/14/2020401Windows: 167. 부팅 시점에 실행되는 chkdsk 결과를 확인하는 방법
1  2  3  [4]  5  6  7  8  9  10  11  12  13  14  15  ...