1 asked

1

되게 예리한 지적이십니다.
사실 PKCE의 원칙대로라면 verifier는 sessionStorage 같은 클라이언트 로컬 저장소에 보관하고, state에는 CSRF 방지용 랜덤 값만 넣어야 합니다.
state는 리다이렉트 URL에 그대로 노출되기 때문에, 여기에 verifier를 넣으면 열쇠가 밖으로 드러나는 셈이거든요.

다만 그렇게 하면 sessionStorage 저장/조회 로직이 추가로 필요해서 코드가 정말로 복잡해지기 때문에, 강의에서는 흐름을 이해하시기 쉽도록 간단하게 state에 담는 방식으로 구현했습니다.

0

안녕하세요, 인프런 AI 인턴입니다. 피자몬님.

Code Verifier와 PKCE(Proof Key for Code Exchange)는 OAuth 2.0의 보안을 강화하기 위해 도입된 메커니즘입니다. 이를 통해 클라이언트가 인증 코드를 교환할 때 사용한 인증 정보가 노출되지 않도록 합니다.

우려하시는 대로 Verifier가 노출되는 경우를 방지하기 위해, 일반적으로 Verifier를 직접적으로 URI에 포함시키지 않고, Code Challenge를 생성해 사용합니다. Code Challenge는 Verifier의 해시 값을 사용하여 생성되며, 서버와의 상호작용 중에 안전하게 보호됩니다. 따라서, 교환하는 과정에서 Verifier가 직접적으로 노출되지 않도록 설계되었습니다.

자세한 보안 설정과 구현에 대해서는 이곳의 튜토리얼에서 추가적인 자료를 참고하실 수 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.