Microsoft MVP성태의 닷넷 이야기
글쓴 사람
홈페이지
첨부 파일
 

Facebook OAuth 처리 시 상태 정보 전달 방법과 "유효한 OAuth 리디렉션 URI" 설정 규칙

페이스북 로그인을 위한 OAuth 요청 시 대개 다음과 같은 형식의 URL을 보냅니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code


매개변수 중에 "redirect_uri" 관련해서 예전에 한 번 설명한 적이 있는데,

페이스북 HTTPS 인증을 localhost에서 테스트하는 방법
; https://www.sysnet.pe.kr/2/0/11855

위의 글에서도 언급했지만 (이제는 강제 적용된) "리디렉션 URI에 Strict 모드 사용"과 겹치면 "redirect_uri"로 가능한 값은 "유효한 OAuth 리디렉션 URI"에 등록한 것으로 제한됩니다. 여기서 문제는, 웹 페이지에서 현재 상태를 유지하고 싶을 때입니다. 가령 여러분들이 다음과 같은 페이지를 방문한다고 가정해 보겠습니다.

https://yoursite.com/product/view/5100

그럼 페이스북 인증을 위해 해당 URL의 도메인 명을 등록할 것이고,

유효한 OAuth 리디렉션 URI
https://yoursite.com/

이렇게 페이스북 로그인 처리가 되면, 사용자는 이전에 보고 있던 페이지가 아닌 "/" 루트 페이지로 원치 않은 이동을 하게 됩니다. 만약, 현재 페이지를 유지하기 위해 redirect_uri을 다음과 같이 제공하면,

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/product/view/5100&response_type=code


이것은 "유효한 OAuth 리디렉션 URI"에 등록한 "https://yoursite.com/"과 일치하지 않기 때문에 로그인에 실패하면서 다음과 같은 메시지를 사용자 웹 브라우저에서 보게 되고,

URL blocked: This redirect failed because the redirect URI is not white-listed in the app's client OAuth settings. Make sure that the client and web OAuth logins are on and add all your app domains as valid OAuth redirect URIs.

차단된 URL: 리디렉션 URI가 앱의 클라이언트 OAuth 설정의 화이트리스트에 없으므로 리디렉션하지 못했습니다. 클라이언트 및 웹 OAuth 로그인이 설정되었는지 확인하고 모든 앱 도메인을 유효한 OAuth 리디렉션 URI로 추가하세요.


위의 메시지 상자와 함께 제공되는 "확인" 버튼을 누르면 메시지만 바뀌며 이후 계속 반복됩니다.

Can't load URL: The domain of this URL isn't included in the app's domains. To be able to load this URL, add all domains and sub-domains of your app to the App Domains field in your app settings.

URL을 읽어들일 수 없음: 앱 도메인에 포함되어 있지 않은 URL입니다. 이 URL을 읽어들이려면 앱 설정에서 앱 도메인 필드에 앱의 모든 도메인과 서브 도메인을 추가하세요.


물론, 이 문제를 해결하기 위해 해당 URL을 추가 등록해도 됩니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com/
https://yoursite.com/product/view/5100

하지만 가능한 설정이 무수히 많은 상황에서 저런 URL을 모두 등록하는 것은 현실적으로 불가능하다고 봐야 됩니다.




그럼, 이 문제를 어떻게 해결할 수 있을까요? 바로 이럴 때, "state" 매개변수를 사용할 수 있습니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri={...redirect_url...}&response_type=code&state={...state...}


원래 facebook의 개발자 문서에서는,

로그인 보안 - State 매개변수
; https://developers.facebook.com/docs/facebook-login/security/#stateparam

이에 대해 다음과 같이 설명하고 있습니다.

웹사이트에 Facebook 로그인 대화 상자를 사용하는 경우 state 매개변수는 사이트 간 요청 위조 공격으로부터 앱을 보호하는 고유 문자열입니다.


왠지 state 매개변수는 CSRF를 위한 목적으로만 사용해야 할 것 같은데, 사실 이 값은 oauth 절차에서 사용자 사이트와 facebook 간에 그대로 보존되는 특징이 있기 때문에 상태 정보를 유지하는 방법으로 사용할 수 있습니다. 실제로 이에 대해서는 위의 문서에서 "Strict 모드 활성화"를 다루며 다음과 같이 설명하고 있습니다.

  • 앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
  • 앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.

따라서, "https://yoursite.com/product/view/5100"과 같은 URL의 경우에는 개발자가 "state" 구성을 (임의 재량으로) 다음과 같은 구성으로 바꿔,

category=product,mode=view,id=5100

이렇게 OAuth 요청을 하면 됩니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com&response_type=code&state=category=product,mode=view,id=5100


그럼, facebook은 로그인 처리 후 redirection을 다음과 같은 형식의 URL로 구성해 전달해 주므로,

https://yoursite.com?code=...&state=category=product,mode=view,id=5100

개발자는 "state" 매개변수를 읽어 사용자가 방문하고 있었던 "https://yoursite.com/product/view/5100" URL로 조합해 다시 redirection을 해주면 됩니다.




"유효한 OAuth 리디렉션 URI"에는 매개변수를 포함한 URL도 등록할 수 있습니다.

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product

당연히, OAuth 요청의 redirect_uri도 정확히 위의 URL과 일치해야만 합니다.

https://www.facebook.com/v2.8/dialog/oauth/?client_id={...client_id...}&redirect_uri=https://yoursite.com/?category=product&response_type=code


주의할 점은, Facebook의 OAuth가 처리해 주는 매개변수는 오직 1개만 가능하다는 점입니다. 이 때문에 "유효한 OAuth 리디렉션 URI"에 2개의 매개변수를 등록해도,

유효한 OAuth 리디렉션 URI
https://yoursite.com
https://yoursite.com/?category=product&mode=view

Facebook은 "https://yoursite.com/?category=product" 이것까지만 인식하게 되고, 로그인 처리 후 redirection도 mode=view 매개변수가 제거된 체로 넘어오게 됩니다.




사실 처음에 저는 이 문제를 "URI 리디렉션 유효성 검사기(Redirect URI Validator)"의 등록으로,

facebook_state_queryparam_1.png

가능할 거라 봤습니다. 즉, 페이스북은 아마도 저 callback URL을 우리가 전달한 redirect_uri 값과 함께 호출해 줄 것이고 따라서 적절한 값을 반환하는 페이지를 제공한다면 되지 않을까?...라고 생각했는데 아쉽게도 저 Validator를 구현하는 어떤 코드도 찾지 못했습니다. (사실, 어떤 용도인지 저는 아직도 잘 모르겠습니다. 혹시 아시는 분은 덧글 부탁드립니다. ^^)




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]





[최초 등록일: ]
[최종 수정일: 3/14/2020 ]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer@outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  6  7  8  9  [10]  11  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12039정성태10/22/2019669스크립트: 16. cmd.exe의 for 문에서는 ERRORLEVEL이 설정되지 않는 문제
12038정성태10/17/2019541오류 유형: 570. SQL Server 2019 RC1 - SQL Client Connectivity SDK 설치 오류
12037정성태10/15/2019855.NET Framework: 867. C# - Encoding.Default 값을 바꿀 수 있을까요?파일 다운로드1
12036정성태10/21/20191509.NET Framework: 866. C# - 고성능이 필요한 환경에서 GC가 발생하지 않는 네이티브 힙 사용파일 다운로드1
12035정성태10/13/2019736개발 환경 구성: 461. C# 8.0의 #nulable 관련 특성을 .NET Framework 프로젝트에서 사용하는 방법파일 다운로드1
12034정성태1/31/20201008개발 환경 구성: 460. .NET Core 환경에서 (프로젝트가 아닌) C# 코드 파일을 입력으로 컴파일하는 방법 [1]
12033정성태10/11/20191446개발 환경 구성: 459. .NET Framework 프로젝트에서 C# 8.0 컴파일러를 사용하는 방법
12032정성태11/25/2019899.NET Framework: 865. .NET Core 2.2/3.0 웹 프로젝트를 IIS에서 호스팅(Inproc, out-of-proc)하는 방법 - AspNetCoreModuleV2 소개
12031정성태10/7/2019561오류 유형: 569. Azure Site Extension 업그레이드 시 "System.IO.IOException: There is not enough space on the disk" 예외 발생
12030정성태11/12/20192304.NET Framework: 864. .NET Conf 2019 Korea - "닷넷 17년의 변화 정리 및 닷넷 코어 3.0" 발표 자료 [1]파일 다운로드1
12029정성태9/27/2019669제니퍼 .NET: 29. Jennifersoft provides a trial promotion on its APM solution such as JENNIFER, PHP, and .NET in 2019 and shares the examples of their application.
12028정성태9/26/2019810.NET Framework: 863. C# - Thread.Suspend 호출 시 응용 프로그램 hang 현상을 해결하기 위한 시도파일 다운로드1
12027정성태9/26/2019508오류 유형: 568. Consider app.config remapping of assembly "..." from Version "..." [...] to Version "..." [...] to solve conflict and get rid of warning.
12026정성태9/26/2019695.NET Framework: 862. C# - Active Directory의 LDAP 경로 및 정보 조회
12025정성태9/25/2019806제니퍼 .NET: 28. APM 솔루션 제니퍼, PHP, .NET 무료 사용 프로모션 2019 및 적용 사례 (8)
12024정성태9/20/2019923.NET Framework: 861. HttpClient와 HttpClientHandler의 관계
12023정성태9/19/2019860.NET Framework: 860. ServicePointManager.DefaultConnectionLimit와 HttpClient의 관계파일 다운로드1
12022정성태9/12/20191854개발 환경 구성: 458. C# 8.0 (Preview) 신규 문법을 위한 개발 환경 구성 [3]
12021정성태7/1/20204571도서: 시작하세요! C# 8.0 프로그래밍 [3]
12020정성태9/11/2019895VC++: 134. SYSTEMTIME 값 기준으로 특정 시간이 지났는지를 판단하는 함수
12019정성태9/11/2019708Linux: 23. .NET Core + 리눅스 환경에서 Environment.CurrentDirectory 접근 시 주의 사항
12018정성태9/25/2019609오류 유형: 567. IIS - Unrecognized attribute 'targetFramework'. Note that attribute names are case-sensitive. (D:\lowSite4\web.config line 11)
12017정성태9/11/2019987오류 유형: 566. 비주얼 스튜디오 - Failed to register URL "http://localhost:6879/" for site "..." application "/". Error description: Access is denied. (0x80070005)
12016정성태9/5/20191572오류 유형: 565. git fetch - warning: 'C:\ProgramData/Git/config' has a dubious owner: '(unknown)'.
12015정성태9/3/20192365개발 환경 구성: 457. 윈도우 응용 프로그램의 Socket 연결 시 time-out 시간 제어
12014정성태6/23/20201235개발 환경 구성: 456. 명령행에서 AWS, Azure 등의 원격 저장소에 파일 관리하는 방법 - cyberduck/duck 소개
1  2  3  4  5  6  7  8  9  [10]  11  12  13  14  15  ...