Working with IAM - Githubissues

TheOpenCloudEngine / uEngine5-base

uEngine5 BPMS that totally re-written in Microservices architecture. uEngine5 can act as not only a conventional Workflow or BPMS but also as a REST api orchestrator or a BPaaS (Business process as a service) of members of OCE's MSA components.

MIT License

10 stars 13 forks source link

보안 관련 이슈

Public 한 클라이언트가 유저 관련 작업을 할때,

1) 클라이언트키와 클라이언트 시크릿 키를 통해야만 가능

사용자 Crud
토큰 재발급
신규 토큰 발급 (로그인)

2) 발급된 토큰으로만 가능한 것

토큰 검증
토큰 정보 얻기

클라이언트키과 비밀번호 키는 자바스크립트에서 절대 유출되면 안됨

따라서, App 스크립트에서는 어떤 경로로든 키와 비밀키는 없어야함.

iam-client.js 를 통해 사용하는 명령어는 App 의 서버를 통하고, App 의 서버는 키와 비밀키를 헤더에 삽입하여 IAM 서버와 프락시 통신을 함. 이 로직을 iam-java-client 에서 Bean 등록시 3줄 내외로 처리가능하도록 설정함.

서버 코딩 없는 회원가입, 비밀번호 변경 작업

IAM 이슈 참조

IAM 의 아바타 기능을 사용토록 함

IAM 이슈 참조

클라이언트키과 비밀번호 키는 자바스크립트에서 절대 유출되면 안됨

개발자 경험저하, 코드 복잡성 등의 이유로, IAM Rest Filter 를 다 파기하고

일단 원래대로 자바스크립트에서 클라이언트키와 시크릿키를 다 들고있는걸로 가자.

추후에 클라이언트 시크릿 키가 필요없는 Implict Grant 인증방식으로 바꿀것.(구글,페이스북 처럼 팝업 또는 리다이렉트 방식 로그인. 이 방식은 로그인화면을 IAM 이 제공.)

TheOpenCloudEngine / uEngine5-base

Working with IAM #2

보안 관련 이슈

클라이언트키과 비밀번호 키는 자바스크립트에서 절대 유출되면 안됨

서버 코딩 없는 회원가입, 비밀번호 변경 작업

IAM 의 아바타 기능을 사용토록 함

클라이언트키과 비밀번호 키는 자바스크립트에서 절대 유출되면 안됨