최종 사용자 ID, 앱 ID 또는 둘 다로 OAuth 2.0 액세스 토큰의 검색 및 취소 사용 설정

Apigee Edge 문서입니다.
Apigee X 문서로 이동 정보

이 섹션에서는 최종 사용자 ID, 앱 ID 또는 둘 다로 OAuth 2.0 액세스 토큰의 검색 및 취소를 사용 설정하는 방법을 설명합니다. 최종 사용자 ID 기능을 사용하려면 이 주제에 설명된 대로 특별한 설정이 필요합니다. 최종 사용자는 API를 호출하는 앱의 사용자를 의미합니다.

최종 사용자 ID 액세스를 사용 설정해야 하는 경우

간혹 사용자 ID를 액세스 토큰에 저장하는 것이 유용할 수 있습니다. 적절한 사용 사례가 있는 경우에만 최종 사용자 ID 액세스 기능을 사용 설정하세요. 예를 들면 다음과 같습니다.

• 웹사이트 또는 앱에서 사용자는 승인된 타사 앱을 확인할 수 있고 이러한 앱에 대한 액세스 권한을 취소할 수 있는 옵션을 제공합니다.
• 승인된 사용자가 특정 개발자 앱과 연결된 모든 액세스 토큰을 취소할 수 있습니다.

OAuth 액세스 토큰 정보

앱 ID는 OAuth 액세스 토큰에 자동으로 추가됩니다. 따라서 아래 설명에 따라 조직에 토큰 액세스를 사용 설정한 후 앱 ID별로 액세스 토큰을 취소할 수 있습니다.

최종 사용자 ID별로 OAuth 2.0 액세스 토큰을 검색하고 취소하려면 액세스 토큰에 최종 사용자 ID가 있어야 합니다. 아래 절차에서는 기존 토큰에 최종 사용자 ID를 추가하는 방법을 설명합니다.

기본적으로 Edge에서 OAuth 2.0 액세스 토큰을 생성하면 토큰 형식은 다음과 같습니다.

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

다음에 유의하세요.

• application_name 필드에는 토큰과 연결된 앱의 UUID가 포함되어 있습니다. 앱 ID별로 OAuth 2.0 액세스 토큰의 검색 및 취소를 사용 설정하면 이 앱 ID가 사용됩니다.
• access_token 필드에는 OAuth 2.0 액세스 토큰 값이 포함되어 있습니다.

기본 OAuth 액세스 토큰에는 최종 사용자 ID 필드가 없습니다. 최종 사용자 ID별로 OAuth 2.0 액세스 토큰의 검색 및 취소를 사용 설정하려면 아래 절차에 설명된 대로 토큰에 사용자 ID가 포함되도록 OAuth 2.0 정책을 구성해야 합니다. 앱 ID별로 OAuth 2.0 액세스 토큰을 검색하고 취소하기만 하려는 경우 최종 사용자 ID별로 액세스를 사용 설정할 필요가 없습니다.

최종 사용자 ID를 토큰 생성 엔드포인트에 전달합니다. 최종 사용자의 ID를 쿼리 매개변수, 양식 매개변수 또는 헤더로 전달할 수 있습니다 (이 주제의 뒷부분에 설명). 토큰에 최종 사용자 ID가 포함되도록 Edge를 구성하면 다음과 같이 app_enduser 필드로 포함됩니다.

{
 "issued_at" : "1421847736581",
 "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a",
 "scope" : "READ",
 "app_enduser" : "6ZG094fgnjNf02EK",
 "status" : "approved",
 "api_product_list" : "[PremiumWeatherAPI]",
 "expires_in" : "3599", //--in seconds
 "developer.email" : "tesla@weathersample.com",
 "organization_id" : "0",
 "token_type" : "BearerToken",
 "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP",
 "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL",
 "organization_name" : "myorg",
 "refresh_token_expires_in" : "0", //--in seconds
 "refresh_count" : "0"
}

이러한 검색 및 취소를 실행하는 API를 호출하는 방법을 알아보려면 다음 스마트 문서를 참고하세요.

• 최종 사용자 또는 앱 ID를 사용하여 OAuth2 액세스 토큰 취소
• 최종 사용자 또는 앱 ID별 OAuth2 액세스 토큰 가져오기

사용자 ID 및 앱 ID별 OAuth 2.0 토큰에 대한 액세스 사용 설정

사용자 ID 및 앱 ID별로 OAuth 2.0 토큰에 대한 액세스를 사용 설정하는 방법은 Edge를 배포한 방법에 따라 다릅니다.

• 클라우드 기반 배포

  Edge의 클라우드 기반 배포는 대부분의 구성이 Apigee에서 처리된다는 것을 의미합니다. 개발자는 사용자 ID가 액세스 토큰에 추가되도록 OAuth 2.0 정책을 구성하는 것만 담당합니다. 자세한 내용은 아래 절차를 참고하세요.

• Private Cloud용 Edge 배포

  프라이빗 클라우드용 Apigee Edge (온프레미스)의 경우 구성에 대한 책임은 전적으로 개발자에게 있습니다. 자세한 내용은 작업 및 구성을 참고하세요.

• Apigee Hybrid

  사용자 ID별 OAuth 2.0 토큰 액세스는 기본적으로 사용 설정되어 있습니다. 개발자는 사용자 ID가 액세스 토큰에 추가되도록 OAuth 2.0 정책을 구성하는 것만 담당합니다. 자세한 내용은 아래 절차의 5단계를 참고하세요.

클라우드에서 액세스 사용 설정

1단계: 조직에서 이 기능을 지원하도록 사용 설정

이 기능을 지원하려는 각 조직에 대해 이 기능을 사용 설정해야 합니다.

Apigee Edge 지원팀에 문의하여 조직을 업데이트하도록 요청합니다.

2단계: opsadmin 및 orgadmin 역할에 oauth2 리소스 권한 제공

orgadmin 및 opsadmin 역할에만 최종 사용자 ID 또는 앱 ID를 기준으로 oauth2 리소스에 대한 이러한 검색(get) 및 취소(put) 호출을 수행할 수 있는 권한을 부여해야 합니다.

리소스에 대한 권한 가져오기 API 호출을 사용하여 oauth2 리소스에 대한 get 및 put 권한이 있는 역할을 확인할 수 있습니다.

권한을 추가하거나 삭제해야 하는 경우 Apigee Edge 지원팀에 문의하여 업데이트를 수행하도록 합니다.

3단계: 기존 OAuth 2.0 액세스 토큰을 Cassandra 노드에 복사

Apigee 지원팀에서 실행: 이 작업에서는 영향을 받는 조직의 기존 OAuth 2.0 액세스 토큰 사본이 복사되어 Cassandra 노드에 저장됩니다. 이 절차는 각 Apigee Edge 포드의 Cassandra 노드에서 실행됩니다. 이렇게 하면 기존 및 새로 생성된 모든 OAuth 2.0 액세스 토큰에 대해 API 호출을 검색하고 취소할 수 있습니다.

4단계: OAuth 2.0 정책을 구성하여 최종 사용자 ID가 포함된 액세스 토큰을 생성

액세스 토큰을 생성하는 데 사용되는 OAuth 2.0 정책을 구성하여 토큰에 최종 사용자 ID를 포함합니다. 액세스 토큰에 최종 사용자 ID를 포함하면 최종 사용자 ID별로 검색 및 취소를 실행할 수 있습니다.

액세스 토큰에 최종 사용자 ID가 포함되도록 정책을 구성하려면 최종 사용자 ID가 포함된 입력 변수를 지정해야 합니다. <AppEndUser> 태그를 사용하여 변수를 지정합니다.

아래의 GenerateAccessTokenClient라는 OAuth 2.0 정책은 OAuth 2.0 액세스 토큰을 생성합니다. <AppEndUser> 태그가 굵게 추가된 것을 확인합니다.

<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient">
  <DisplayName>OAuth 2.0.0 1</DisplayName>
  <ExternalAuthorization>false</ExternalAuthorization>
  <Operation>GenerateAccessToken</Operation>
  <SupportedGrantTypes>
    <GrantType>client_credentials</GrantType>
  </SupportedGrantTypes>
  <GenerateResponse enabled="true"/>
  <GrantType>request.queryparam.grant_type</GrantType>
  <AppEndUser>request.header.appuserID</AppEndUser>
  <ExpiresIn>960000</ExpiresIn>
</OAuthV2>

그런 다음, 다음 cURL 명령어를 사용하여 OAuth 2.0 액세스 토큰을 생성하고 사용자 ID를 appuserID 헤더로 전달할 수 있습니다.

curl -H "appuserID:6ZG094fgnjNf02EK" /
  https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials /
  -X POST /
  -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNi87GYXFmP&client_secret=gk58jK5lIp943AY4'

이 예시에서는 appuserID가 요청 헤더로 전달됩니다. 여러 가지 방법으로 정보를 요청의 일부로 전달할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.

• 양식 매개변수 변수 request.formparam.appuserID를 사용합니다.
• 최종 사용자 ID를 제공하는 흐름 변수를 사용합니다.