인프런 커뮤니티 질문&답변
작성한 질문수
클라이언트 등록시에 127.0.0.1로 등록하는 이유가 뭔가요?
작성
·
730
·
수정됨
0
질문을 며칠전 장문으로 올렸는데 추후 강의 들으면서 어느정도 궁금증은 해결했습니다
나머지 궁금한 부분만 간추려서 다시 질문드립니다
이전강의 keycloak이용시에는 redirectUrl을 localhost베이스로만 설정해도 아무 문제 없었는데 왜 Spring Authorization Server는 127.0.0.1베이스로 설정해야만 하는 거죠? localhost로 설정하는 방법은 정녕 없는건가요? 개발시에 127.0.0.1로 접속해서 테스트해야되는것도 은근히 불편한 점이 있는지라 생각해봅니다
답변 1
0
정수원
지식공유자
네
현재 Spring Authorization Server 에서 localhost 로 접근하는 것은 내부적으로 차단하고 있습니다.
이 부분을 커스텀하게 설정할 수 있는 API 를 제공하지 않는 것 같습니다.
클라이언트의 redirect_uri 에 한해서 그런 것 같습니다.
보안상 이유로 정한 정책이라 보시면 됩니다.
String requestedRedirectHost = requestedRedirect.getHost();
if (requestedRedirectHost == null || requestedRedirectHost.equals("localhost")) {
// As per https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-01#section-9.7.1
// While redirect URIs using localhost (i.e., "http://localhost:{port}/{path}")
// function similarly to loopback IP redirects described in Section 10.3.3,
// the use of "localhost" is NOT RECOMMENDED.
OAuth2Error error = new OAuth2Error(
OAuth2ErrorCodes.INVALID_REQUEST,
"localhost is not allowed for the redirect_uri (" + requestedRedirectUri + "). " +
"Use the IP literal (127.0.0.1) instead.",
"https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-01#section-9.7.1");
throwError(error, OAuth2ParameterNames.REDIRECT_URI,
authorizationCodeRequestAuthentication, registeredClient, null);
}Spring Authorization Server 자체에 대한 주소를 localhost 로 하는 것은 상관없습니다.