클라이언트 등록시에 127.0.0.1로 등록하는 이유가 뭔가요?

Question

질문을 며칠전 장문으로 올렸는데 추후 강의 들으면서 어느정도 궁금증은 해결했습니다 나머지 궁금한 부분만 간추려서 다시 질문드립니다 이전강의 keycloak이용시에는 redirectUrl을 localhost베이스로만 설정해도 아무 문제 없었는데 왜 Spring Authorization Server는 127.0.0.1베이스로 설정해야만 하는 거죠? localhost로 설정하는 방법은 정녕 없는건가요? 개발시에 127.0.0.1로 접속해서 테스트해야되는것도 은근히 불편한 점이 있는지라 생각해봅니다

정수원 · Answer

네 현재 Spring Authorization Server 에서 localhost 로 접근하는 것은 내부적으로 차단하고 있습니다. 이 부분을 커스텀하게 설정할 수 있는 API 를 제공하지 않는 것 같습니다. 클라이언트의 redirect_uri 에 한해서 그런 것 같습니다. 보안상 이유로 정한 정책이라 보시면 됩니다. String requestedRedirectHost = requestedRedirect.getHost(); if (requestedRedirectHost == null || requestedRedirectHost.equals("localhost")) { // As per https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-01#section-9.7.1 // While redirect URIs using localhost (i.e., "http://localhost:{port}/{path}") // function similarly to loopback IP redirects described in Section 10.3.3, // the use of "localhost" is NOT RECOMMENDED. OAuth2Error error = new OAuth2Error( OAuth2ErrorCodes.INVALID_REQUEST, "localhost is not allowed for the redirect_uri (" + requestedRedirectUri + "). " + "Use the IP literal (127.0.0.1) instead.", "https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-01#section-9.7.1"); throwError(error, OAuth2ParameterNames.REDIRECT_URI, authorizationCodeRequestAuthentication, registeredClient, null); } Spring Authorization Server 자체에 대한 주소를 localhost 로 하는 것은 상관없습니다.