• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

restDoc 사용시 보안부분이 궁금합니다!

22.07.09 18:43 작성 조회수 355

1

안녕하세요 호돌맨님 ! 
열심히 강의듣고 있는 수강생입니다

서비스회사로 옮기고나서 처음으로 API를 만들어보고 있는데요!

배포시 jar 파일에 RestDoc파일이 같이 배포될 됐을때
엔드포인트가 외부노출이 됐을때 api 스펙이 모두 노출될 것 같아 걱정되는데요

 

라이브서버에 같이 배포 안하고 따로 배포하면 될까요 ?? 

course-thumbnail

호돌맨의 요절복통 개발쇼 (SpringBoot, Vue.JS, AWS)

Spring REST Docs1 - 기본설정

강의실 바로가기

답변 1

답변을 작성해보세요.

0

호돌맨님의 프로필

호돌맨

지식공유자

2022.07.17

안녕하세요. 호돌맨입니다.
답변이 늦어서 죄송합니다.

저는 아래같이 생각해볼것 같습니다.

- 정말 API 노출이 되면 안되는가?
그냥 노출되도 상관없는 API도 있기 마련입니다. 정말 노출되면 안될것 같다면 이제 보안 방법에 대해 생각해볼것 같습니다.

- Interceptor를 이용해 /docs 로 시작하는 경로요청에는 HTTP 헤더에 특정 인증 파라메터가 포함되어 있는지 확인하도록 할것 같습니다. 예를들어 헤더값으로 'Foo: Bar'가 없으면 에러를 뱉는거죠. 이후 개발자가 doc 페이지 요청할때는 chrome에 header값을 수정해서 요청하는 확장플러그인을 설치하고 접속하면 되겠죠?
- 스프링 Security기능의 Basic Authentication 을 이용해볼것 같습니다.
- 혹은 스프링애플리케이션 앞단에 nginx를 두어 nginx에서 Basic Authentication 처리를 할 수 있을것 같습니다.

감사합니다.

 

이 글과 비슷한 Q&A