앞서 6장에서는 API를 위한 위협 모델링 방법과 OWASP API 보안 톱 10에 대해 알아봄.

참석자 API는 이제 외부로부터의 트래픽을 받아들일 준비가 되었음. 하지만 API의 소비자를 어떻게 정확히 인식할 수 있을까?

→ 이번 장에서는 API의 인증(authentication)과 인가(authorization)에 대해 알아봄.

• 인증: 호출자가 누구인지 확인하는 것
• 인가: 어떤 동작을 허용할 것인지 확인

이번 장의 대부분은 OAuth2 및 최종 사용자와 시스템 기반 상호 동작을 위한 보안 접근법에 대해 다룸. 그리고 이번 장은 참석자 API를 외부 시스템인 CFP 시스템이 사용할 수 있도록 준비하는 과정을 통해 보안에 대한 다양한 방식을 설명함.

인증

인증은 신원을 확인하는 동작

• 사용자의 경우 가장 전통적인 방법은 사용자가 사용자 이름과 비밀번호 같은 자격 정보를 제공하도록 하는 것
• 요즘은 표준 로그인 흐름에 다중 인증(Multi-Factor Authentication, MFA)을 도입하는 것이 보편화도고 있음

→ MFA는 사용자가 정말 적법한 사용자인지를 보장할 수 있어 유용함. 머신 간 인증의 경우 자격증명은 키나 인증서 형태로 사용함.

→ 자격증명을 검증함으로써 누가 시스템과 통신하려고 시도하는지 알 수 있음

이를 참석자 서비스의 관점에서 생각해보자

• 참석자 API는 이름이나 이메일 주소 같은 개인 식별 정보를 보관하고 있으며 사용자는 이런 정보가 안전하게 보호되기를 원함
• 이 정보를 보호하기 위한 첫 번째 단계는 API 호출자가 누구인지 알아내는 것