Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙

페이스북 로그인을 위한 OAuth 요청 시 대개 다음과 같은 형식의 URL을 보냅니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code


매개변수 중에 "redirect_uri" 관련해서 예전에 한 번 설명한 적이 있는데,

페이스북 HTTPS 인증을 localhost에서 테스트하는 방법
; https://www.sysnet.pe.kr/2/0/11855

위의 글에서도 언급했지만 (이제는 강제 적용된) "리디렉션 URI에 Strict 모드 사용"과 겹치면 "redirect_uri"로 가능한 값은 "유효한 OAuth 리디렉션 URI"에 등록한 것으로 제한됩니다. 여기서 문제는, 웹 페이지에서 현재 상태를 유지하고 싶을 때입니다. 가령 여러분들이 다음과 같은 페이지를 방문한다고 가정해 보겠습니다.

https://yoursite.com/product/view/5100

그럼 페이스북 인증을 위해 해당 URL의 도메인 명을 등록할 것이고,

유효한 OAuth 리디렉션 URI
https://yoursite.com/

이렇게 페이스북 로그인 처리가 되면, 사용자는 이전에 보고 있던 페이지가 아닌 "/" 루트 페이지로 원치 않은 이동을 하게 됩니다. 만약, 현재 페이지를 유지하기 위해 redirect_uri을 다음과 같이 제공하면,

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/product/view/5100&response_type=code


이것은 "유효한 OAuth 리디렉션 URI"에 등록한 "https://yoursite.com/"과 일치하지 않기 때문에 로그인에 실패하면서 다음과 같은 메시지를 사용자 웹 브라우저에서 보게 되고,

URL blocked: This redirect failed because the redirect URI is not white-listed in the app's client OAuth settings. Make sure that the client and web OAuth logins are on and add all your app domains as valid OAuth redirect URIs.

차단된 URL: 리디렉션 URI가 앱의 클라이언트 OAuth 설정의 화이트리스트에 없으므로 리디렉션하지 못했습니다. 클라이언트 및 웹 OAuth 로그인이 설정되었는지 확인하고 모든 앱 도메인을 유효한 OAuth 리디렉션 URI로 추가하세요.


위의 메시지 상자와 함께 제공되는 "확인" 버튼을 누르면 메시지만 바뀌며 이후 계속 반복됩니다.

Can't load URL: The domain of this URL isn't included in the app's domains. To be able to load this URL, add all domains and sub-domains of your app to the App Domains field in your app settings.

URL을 읽어들일 수 없음: 앱 도메인에 포함되어 있지 않은 URL입니다. 이 URL을 읽어들이려면 앱 설정에서 앱 도메인 필드에 앱의 모든 도메인과 서브 도메인을 추가하세요.


물론, 이 문제를 해결하기 위해 해당 URL을 추가 등록해도 됩니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com/
https://yoursite.com/product/view/5100

하지만 가능한 설정이 무수히 많은 상황에서 저런 URL을 모두 등록하는 것은 현실적으로 불가능하다고 봐야 됩니다.




그럼, 이 문제를 어떻게 해결할 수 있을까요? 바로 이럴 때, "state" 매개변수를 사용할 수 있습니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code&state={...state...}


원래 facebook의 개발자 문서에서는,

로그인 보안 - State 매개변수
; https://developers.facebook.com/docs/facebook-login/security/#stateparam

이에 대해 다음과 같이 설명하고 있습니다.

웹사이트에 Facebook 로그인 대화 상자를 사용하는 경우 state 매개변수는 사이트 간 요청 위조 공격으로부터 앱을 보호하는 고유 문자열입니다.


왠지 state 매개변수는 CSRF를 위한 목적으로만 사용해야 할 것 같은데, 사실 이 값은 oauth 절차에서 사용자 사이트와 facebook 간에 그대로 보존되는 특징이 있기 때문에 상태 정보를 유지하는 방법으로 사용할 수 있습니다. 실제로 이에 대해서는 위의 문서에서 "Strict 모드 활성화"를 다루며 다음과 같이 설명하고 있습니다.

  • 앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
  • 앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

따라서, "https://yoursite.com/product/view/5100"과 같은 URL의 경우에는 개발자가 "state" 구성을 (임의 재량으로) 다음과 같은 구성으로 바꿔,

category=product,mode=view,id=5100

이렇게 OAuth 요청을 하면 됩니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com&response_type=code&state=category=product,mode=view,id=5100


그럼, facebook은 로그인 처리 후 redirection을 다음과 같은 형식의 URL로 구성해 전달해 주므로,

https://yoursite.com?code=...&state=category=product,mode=view,id=5100

개발자는 "state" 매개변수를 읽어 사용자가 방문하고 있었던 "https://yoursite.com/product/view/5100" URL로 조합해 다시 redirection을 해주면 됩니다.




"유효한 OAuth 리디렉션 URI"에는 매개변수를 포함한 URL도 등록할 수 있습니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product

당연히, OAuth 요청의 redirect_uri도 정확히 위의 URL과 일치해야만 합니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/?category=product&response_type=code


주의할 점은, Facebook의 OAuth가 처리해 주는 매개변수는 오직 1개만 가능하다는 점입니다. 이 때문에 "유효한 OAuth 리디렉션 URI"에 2개의 매개변수를 등록해도,

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product&mode=view

Facebook은 "https://yoursite.com/?category=product" 이것까지만 인식하게 되고, 로그인 처리 후 redirection도 mode=view 매개변수가 제거된 체로 넘어오게 됩니다.




사실 처음에 저는 이 문제를 "URI 리디렉션 유효성 검사기(Redirect URI Validator)"의 등록으로,

facebook_state_queryparam_1.png

가능할 거라 봤습니다. 즉, 페이스북은 아마도 저 callback URL을 우리가 전달한 redirect_uri 값과 함께 호출해 줄 것이고 따라서 적절한 값을 반환하는 페이지를 제공한다면 되지 않을까?...라고 생각했는데 아쉽게도 저 Validator를 구현하는 어떤 코드도 찾지 못했습니다. (사실, 어떤 용도인지 저는 아직도 잘 모르겠습니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^)




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 3/14/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  [6]  7  8  9  10  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12255정성태7/6/2020314.NET Framework: 923. C# - ETW(Event Tracing for Windows)를 이용한 Finalizer 실행 감시파일 다운로드1
12254정성태7/2/2020234오류 유형: 626. git - REMOTE HOST IDENTIFICATION HAS CHANGED!
12253정성태7/2/2020397.NET Framework: 922. C# - .NET ThreadPool의 Local/Global Queue파일 다운로드1
12252정성태7/2/2020621.NET Framework: 921. C# - I/O 스레드를 사용한 비동기 소켓 서버/클라이언트파일 다운로드2
12251정성태7/1/2020461.NET Framework: 920. C# - 파일의 비동기 처리 유무에 따른 스레드 상황파일 다운로드2
12250정성태7/1/2020893.NET Framework: 919. C# - 닷넷에서의 진정한 비동기 호출을 가능케 하는 I/O 스레드 사용법 [1]파일 다운로드1
12249정성태6/29/2020267오류 유형: 625. Microsoft SQL Server 2019 RC1 Setup - 설치 제거 시 Warning 26003 오류 발생
12248정성태6/29/2020249오류 유형: 624. SQL 서버 오류 - service-specific error code 17051
12247정성태6/29/2020494.NET Framework: 918. C# - 불린 형 상수를 반환값으로 포함하는 3항 연산자 사용 시 단축 표현 권장(IDE0075) [2]파일 다운로드1
12246정성태6/29/2020343.NET Framework: 917. C# - USB 관련 ETW(Event Tracing for Windows)를 이용한 키보드 입력을 감지하는 방법
12245정성태6/25/2020631.NET Framework: 916. C# - Task.Yield 사용법 (2) [2]파일 다운로드1
12244정성태8/28/2020445.NET Framework: 915. ETW(Event Tracing for Windows)를 이용한 닷넷 프로그램의 내부 이벤트 활용파일 다운로드1
12243정성태6/23/2020272VS.NET IDE: 147. Visual C++ 프로젝트 - .NET Core EXE를 "Debugger Type"으로 지원하는 기능 추가
12242정성태6/24/2020296오류 유형: 623. AADSTS90072 - User account '...' from identity provider 'live.com' does not exist in tenant 'Microsoft Services'
12241정성태6/26/2020555.NET Framework: 914. C# - Task.Yield 사용법파일 다운로드1
12240정성태6/23/2020412오류 유형: 622. 소켓 바인딩 시 "System.Net.Sockets.SocketException: An attempt was made to access a socket in a way forbidden by its access permissions" 오류 발생
12239정성태6/21/2020339Linux: 30. (윈도우라면 DLL에 속하는) .so 파일이 텍스트로 구성된 사례
12238정성태6/21/2020384.NET Framework: 913. C# - SharpDX + DXGI를 이용한 윈도우 화면 캡처 라이브러리
12237정성태7/8/2020392.NET Framework: 912. 리눅스 환경의 .NET Core에서 "test".IndexOf("\0")가 0을 반환
12236정성태6/19/2020327오류 유형: 621. .NET Standard 대상으로 빌드 시 dynamic 예약어에서 컴파일 오류 - error CS0656: Missing compiler required member 'Microsoft.CSharp.RuntimeBinder.CSharpArgumentInfo.Create'
12235정성태6/19/2020371오류 유형: 620. Windows 10 - Inaccessible boot device 블루 스크린
12234정성태6/19/2020302개발 환경 구성: 494. NuGet - nuspec의 패키지 스키마 버전(네임스페이스) 업데이트 방법
12233정성태6/19/2020266오류 유형: 619. SQL 서버 - The transaction log for database '...' is full due to 'LOG_BACKUP'. - 두 번째 이야기
12232정성태6/19/2020229오류 유형: 618. SharePoint - StoreBusyRetryLater 오류
12231정성태6/15/2020445.NET Framework: 911. Console/Service Application을 위한 SynchronizationContext - AsyncContext
12230정성태6/15/2020295오류 유형: 617. IMetaDataImport::GetMethodProps가 반환하는 IL 코드 주소(RVA) 문제
1  2  3  4  5  [6]  7  8  9  10  11  12  13  14  15  ...