작성
·
471
1
안녕하세요 호돌맨님 !
열심히 강의듣고 있는 수강생입니다
서비스회사로 옮기고나서 처음으로 API를 만들어보고 있는데요!
배포시 jar 파일에 RestDoc파일이 같이 배포될 됐을때
엔드포인트가 외부노출이 됐을때 api 스펙이 모두 노출될 것 같아 걱정되는데요
라이브서버에 같이 배포 안하고 따로 배포하면 될까요 ??
답변 1
1
안녕하세요. 호돌맨입니다.
답변이 늦어서 죄송합니다.
저는 아래같이 생각해볼것 같습니다.
- 정말 API 노출이 되면 안되는가?
그냥 노출되도 상관없는 API도 있기 마련입니다. 정말 노출되면 안될것 같다면 이제 보안 방법에 대해 생각해볼것 같습니다.
- Interceptor를 이용해 /docs 로 시작하는 경로요청에는 HTTP 헤더에 특정 인증 파라메터가 포함되어 있는지 확인하도록 할것 같습니다. 예를들어 헤더값으로 'Foo: Bar'가 없으면 에러를 뱉는거죠. 이후 개발자가 doc 페이지 요청할때는 chrome에 header값을 수정해서 요청하는 확장플러그인을 설치하고 접속하면 되겠죠?
- 스프링 Security기능의 Basic Authentication 을 이용해볼것 같습니다.
- 혹은 스프링애플리케이션 앞단에 nginx를 두어 nginx에서 Basic Authentication 처리를 할 수 있을것 같습니다.
감사합니다.