Richard Mooney (Vordel)
This session answers two questions: Are REST Web Services inherently insecure? How can a security model apply to both SOAP and REST Web Services?
REST방식은 제가 제일 선호하는 Open API 아키텍쳐 패턴입니다. 간편하고 Simple하고 따로 배울 필요가 없으며 비용 대비 효과가 크기 때문입니다. 실제 씽크프리의 Open API도 거의 REST 패턴을 따르고 있고 앞으로도 그럴 예정입니다.
Vordel의 아키텍쳐인 Richard Mooney 는 이러한 REST를 SOAP 비교하고 보안에 대해 세션에서 정리를 했습니다. 그냥 편안히 듣고 고개만 끄덕이고 말았네요^-^ 뭐 당연한 거니까…
실제 REST 방식에서 GET을 너무 heavy하게 사용하거나 서버의 상태를 변하게 하는 경우가 있다고 합니다. 그런데 사실 이런 경우는 설계가 잘못된것지 기술적인 문제는 아닙니다. REST의 설계 방법에 대해서는 제가 정리한 글을 참조하세요.
하여간 결론은 HTTP Query String을 믿지 말라는 것입니다!! 동감입니다. 뭐가 실려올지 어떻게 신뢰할지요! 따라서 기존의 웹 표준 방법을 REST에 적용해서 이를 신뢰하게 만들어야 합니다.
여러 REST상의 보안 방안들
1)URL에 ACL을 걸어 권한을 체크한다.
2)SQL injection 처럼 URL QueryString에 문제 소지가 있기 때문에 이를 필터링하여 체크한다.
3)URL을 로깅한다. 아시겠지만 SSL을 걸면 자동으로 URL에 대한 로깅이 됩니다.
4)아마존 등에서 사용하는 방법으로 Developer Token(Secret Access Key ID)을 사용하여 인증을 한다.
그런데 국내 포탈들의 Open API는 어떻게 개발되었나요? 크게 관심이 없어 볼 기회가 없었네요..누가 좀 알려주세요..
'Conference > 2007 Xtech' 카테고리의 다른 글
| Xtech 2007 참관기 - 만난 사람들 (0) | 2007.05.22 |
|---|---|
| Xtech 2007 참관기 - XForm1.1에 대한 고찰(1) (0) | 2007.05.22 |
| Xtech 2007 참관기 - 재미난 발표들 (0) | 2007.05.21 |
| Xtech 2007 참관기 - 현장 및 주변 사진 (0) | 2007.05.20 |
| Xtech 2007 참관기 - 귀국 (0) | 2007.05.20 |
| Xtech 2007 참관기 - You are here: Creating location based services (0) | 2007.05.17 |
| Xtech 2007 참관기 - Physical hyperlinks (2) | 2007.05.17 |
| Xtech 2007 참관기 - W3C Ubiquitous Web Applications Activity (1) | 2007.05.16 |
| Xtech 2007 참관기 - 내가 만난 가장 유명한 사람 (2) | 2007.05.16 |
| Xtech 2007 참관기 - XML을 다시 본다. (2) | 2007.05.15 |
