naveridlogin-sdk-android icon indicating copy to clipboard operation
naveridlogin-sdk-android copied to clipboard

Published 20 hours ago verified publisher icon naver

fix: client secret 노출

Open jjangga0214 opened this issue 3 years ago • 0 comments

client secret 은 Client(OAuth 용어. e.g. 이 라이브러리를 사용하는 앱(=User Agent)의 "운영사") 와 Authorization Server(OAuth 용어. e.g. naver) 사이에만 공유해야 합니다.

client secret 은 Client Impersonation 문제를 해결하기 위한 것으로, 유저(Resource Owner)가 알게 된다면 의미가 없습니다.

Screenshot from 2021-11-02 17-43-23

하지만 본 라이브러리와 공식 문서에서는 위와 같이 client secret 을 앱(User Agent)에서 접근가능하도록 요구하고 있습니다. 이는 client secret 의 의미를 상실케 합니다.

예를 들어, kakao 의 경우, 동일한 방식으로 User Agent 에서 accessToken 을 얻되, client id 만을 요구합니다.

client id 만으로 가능하도록 patch 를 부탁드립니다.

jjangga0214 avatar Nov 02 '21 08:11 jjangga0214