아래의 리스트는 Facebook 로그인을 사용하는 모든 앱에서 최소한 구현해야 하는 기능입니다. 다른 기능은 앱마다 다르므로 앱의 보안을 최대한 강화하는 방법을 항상 염두에 두어야 합니다. 안전하지 않은 앱은 사용자로부터 신뢰를 잃게 되므로 사용하지 않게 됩니다.
앱 시크릿 코드는 액세스 토큰을 생성하기 위해 일부 로그인 플로에서 사용되며 시크릿 코드 자체는 신뢰할 수 있는 사용자만 앱을 안전하게 사용할 수 있도록 합니다. 시크릿 코드를 사용하여 모든 앱 사용자 대신 API 요청을 수행할 수 있는 앱 액세스 토큰을 손쉽게 만들 수 있으므로 앱 시크릿 코드는 절대 손상되지 않아야 합니다.
그러므로 앱 시크릿 코드 또는 앱 액세스 토큰을 절대 코드에 포함해서는 안 됩니다.
최상의 보안을 제공하기 위해 앱의 서버에서만 직접 앱 액세스 토큰을 사용하는 것이 좋습니다. 네이티브 앱의 경우 앱에서 개발자의 서버와 통신한 다음, 서버에서 앱 액세스 토큰을 사용하여 Facebook에 API 요청을 보내는 것이 좋습니다. 이러한 이유로 앱 대시보드의 고급 설정에서 '앱 유형'이 Native/Desktop
으로 설정되어 있으면 네이티브 앱에 바이너리의 앱 시크릿 코드 또는 앱 액세스 토큰이 포함되어 있다고 가정하고 앱 액세스 토큰으로 서명된 호출을 수행하지 못하도록 합니다. API는 액세스 토큰이 제공되지 않은 것처럼 작동합니다.
appsecret_proof
를 통한 안전한 서버 측 호출appsecret_proof
매개변수를 통해 서버 간에 이루어지는 Facebook API 호출에 서명하도록 하여 악성 코드와 스팸에 노출될 가능성을 줄일 수 있습니다. 앱 시크릿 코드 인증서는 액세스 토큰의 sha256 해시로, 앱 시크릿 코드를 키로 사용합니다. 앱 시크릿 코드는 앱 대시보드의 설정 > 기본에서 확인할 수 있습니다.
다음의 코드 예시는 PHP에서의 호출을 나타냅니다.
$appsecret_proof= hash_hmac('sha256', $access_token.'|'.time(), $app_secret);
일부 운영 체제와 프로그래밍 언어는 부동 소수점 타임스탬프를 반환합니다. 앱 시크릿 코드 인증서를 계산하기 전에 정수 값으로 변환하세요. 일부 프로그래밍 언어는 해시를 다이제스트 개체로 생성합니다. 해시를 16진수 개체로 표시하세요.
결과를 appsecret_proof
매개변수로 추가합니다. 이때 appsecret_time
은 앱 시크릿 코드를 각각의 호출에 해시할 때 사용하는 타임스탬프로 설정합니다.
curl \ -F 'access_token=ACCESS-TOKEN' \ -F 'appsecret_proof=APP-SECRET-PROOF' \ -F 'appsecret_time=APP-SECRET-TIME' \ -F 'batch=[{"method":"GET", "relative_url":"me"},{"method":"GET", "relative_url":"me/accounts"}]' \ https://graph.facebook.com
타임스탬프가 표시된 앱 시크릿 코드 인증서는 5분이 지나면 만료된 것으로 간주되므로 각 그래프 API 호출을 보낼 때 새로운 인증서를 인라인으로 생성하는 것이 좋습니다.
모든 API 호출에 대해 앱 시크릿 코드 요청을 활성화하려면 Meta 앱 대시보드로 이동하여 왼쪽 사이드 메뉴에 있는 앱 설정 > 고급을 클릭합니다. 보안 섹션으로 스크롤하여 앱 시크릿 코드 요청 토글을 클릭합니다.
이 설정이 활성화되면 클라이언트가 시작한 모든 호출은 백엔드를 통해 프록시되어야 합니다. 이때 그래프 API로 요청을 보내기 전에 appsecret_proof
매개변수를 요청에 추가하지 않으면 호출이 실패합니다.
일부 구성에서 앱은 여러 클라이언트에 걸쳐 장기 토큰을 재사용합니다. 이렇게 하지 마시고 대신 액세스 토큰 문서에 설명된 대로 코드 플로를 통해 생성된 단기 토큰을 사용하세요.
토큰이 도용되는 과정을 이해하도록 네이티브 iOS 앱에서 API를 호출하려 한다고 가정하겠습니다. 그러나 이 앱에서는 직접 호출을 수행하는 대신 동일한 앱에서 소유한 서버와 통신한 다음 iOS SDK를 사용하여 생성된 토큰을 이 서버에 전달합니다. 그런 다음 서버에서 토큰을 사용하여 API를 호출합니다.
서버에서 토큰을 수신하는 데 사용하는 엔드포인트가 손상되었을 수 있고 완전히 다른 앱의 액세스 토큰을 전달할 수도 있습니다. 그러나 이와 같이 명백하게 안전하지 않은 상황으로부터 토큰을 보호하는 방법이 있습니다. 액세스 토큰은 현재 해당 토큰을 사용 중인 앱에서는 절대 전송하지 않으며, 대신 디버깅 엔드포인트를 사용하여 확인해야 합니다.
Facebook SDK를 사용하지 않을 경우 액세스 토큰이 유효한지 정기적으로 확인하세요. 액세스 토큰에는 정해진 만료일이 있지만 보안상의 이유로 토큰이 조기에 만료될 수 있습니다. 앱에서 Facebook SDK를 사용하지 않는다면 토큰의 유효성을 수시로 수동 검사(적어도 매일)하는 방법을 구현해 앱이 보안상의 이유로 조기에 만료된 토큰을 사용하지 않도록 하는 것이 매우 중요합니다.
웹사이트에 Facebook 로그인 대화 상자를 사용하는 경우 state
매개변수는 사이트 간 요청 위조 공격으로부터 앱을 보호하는 고유 문자열입니다.
Strict 모드에서는 부적절한 행위 주체가 리디렉션을 도용하지 못하도록 하여 앱을 안전하게 보호합니다. 모든 앱은 Strict 모드를 활성화해야 합니다.
앱 대시보드에서 Strict 모드를 설정하기 전에 Facebook 로그인 설정에서 다음 조치를 취해 현재 리디렉션 트래픽이 계속 작동하는지 확인합니다.
앱에서 다이내믹 리디렉션 URI를 사용하는 경우 state 매개변수를 사용하여 다이내믹 정보를 제한된 수의 리디렉션 URI에 전달합니다. 그런 다음 각 제한된 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
앱에서 제한된 수의 리디렉션 URI를 사용하는 경우 각 리디렉션 URI를 유효한 OAuth 리디렉션 URI 리스트에 추가합니다.
이러한 조치를 취한 후 Strict 모드를 활성화하세요.
Strict 모드에서는 유효한 OAuth 리디렉션 URI 리스트에서 정확히 일치하는 항목을 요구하여 리디렉션 URI가 도용되는 것을 방지합니다. 예를 들어 리스트에 www.example.com이 포함되어 있으면 Strict 모드에서는 www.example.com/token을 유효한 리디렉션으로 허용하지 않습니다. 또한 유효한 OAuth 리디렉션 URI 리스트에 없는 추가 쿼리 매개변수를 허용하지 않습니다.
HTTPS에서는 암호화를 사용하므로 HTTP 대신 HTTPS를 인터넷 프로토콜로 사용합니다. HTTPS에서는 전송된 데이터를 비공개로 유지하고 도청 공격으로부터 보호합니다. 예를 들어 광고 또는 악성 코드를 도입하여 전송 중에 데이터가 조작되지 않도록 합니다.
2018년 10월 6일부터 모든 앱은 HTTPS를 사용해야 합니다.
JavaScript SDK로 로그인 토글을 '예'로 설정하여 JavaScript SDK로 로그인하도록 지정하는 경우 SDK를 호스팅하는 페이지의 도메인이 JavaScript SDK에 허용된 도메인 리스트에 포함된 항목 중 하나와 일치해야 합니다. 이렇게 하면 승인된 도메인의 콜백에만 액세스 토큰이 반환됩니다. Facebook JavaScript SDK를 사용하는 인증 작업에는 https 페이지만 지원됩니다.
2021년 8월 10일까지 생성된 기존 JSSDK 통합의 경우 이 리스트는 현재 사용 방식에 따른 값으로 채워집니다. 따라서 별도의 조치가 필요하지 않습니다.
2021년 8월 10일 이후에 생성된 새로운 통합의 경우 이 리스트에 값을 추가해야 합니다.
앱의 JSSDK 도메인 필드가 *.
으로 시작하는 URL을 포함하는 경우 추가 보안을 위해 절대 도메인 URL로 대체되도록 변경하시기 바랍니다.
오픈 리디렉션 공격은 부적절한 행위 주체가 로그인 요청에 권한 없는 redirect_uri 매개변수를 제공하여 액세스 토큰과 같은 민감한 정보가 리디렉션 URI의 쿼리 문자열 또는 프래그먼트를 통해 유출될 수 있는 경우에 발생합니다.
맞춤 설정 웹 통합의 경우 이러한 공격을 방지하기 위해 앱 설정에 권한 있는 리디렉션 URI를 제공해야 합니다. 로그인 요청이 처리되는 동안 redirect_uri 매개변수가 이 리스트에 있는 항목과 비교하여 확인됩니다. 모든 매개변수를 포함하여 전체 URI가 정확히 일치해야 합니다. 단, 선택적 state 매개변수의 값은 무시되므로 예외입니다.
JavaScript SDK는 일반적으로 팝업 및 콜백을 사용하여 로그인을 완료합니다. 따라서 팝업을 제한하는 일부 앱 내 브라우저에서는 로그인이 실패할 수 있습니다. 이 경우 SDK가 자동으로 액세스 토큰을 사용하여 SDK를 호출한 페이지로의 리디렉션을 시도합니다. 이 리디렉션은 페이지의 전체 URI가 '유효한 OAuth 리디렉션 URI'에 나열되어 있는 경우에만 안전하게 수행될 수 있습니다.
웹 앱에서 앱 내 브라우저 시나리오가 중요하다면 '허용되는 도메인'에 로그인 페이지의 도메인을 추가하고 '유효한 OAuth 리디렉션 URI'에 전체 URI(경로 및 쿼리 매개변수 포함)를 추가해야 합니다. 앱에 로그인하는 URI에 여러 가지 버전이 있는 경우 '유효한 OAuth 리디렉션 URL' 리스트에 해당 항목 하나만 추가할 수 있도록 FB.login() 호출에 한 가지 옵션으로 fallback_redirect_uri를 수동으로 지정하면 됩니다.
앱에서 사용하지 않는 인증 플로를 활성화 및/또는 비활성화하여 공격 범위를 최소화합니다.
클라이언트 생성 토큰 또는 서버 제공 장기 토큰 대신 클라이언트에서 코드 생성 단기 액세스 토큰을 사용하세요. 코드 생성 단기 액세스 토큰 플로에서 앱 서버는 코드를 토큰으로 교환해야 합니다. 이는 브라우저에서 토큰을 얻는 것보다 더 안전합니다. 앱에서 보안을 더 강화하려면 가능할 때마다 이 플로를 사용해야 합니다. 앱에서 이 플로만 활성화하면 사용자의 컴퓨터에서 실행 중인 악성 코드가 악용할 액세스 토큰을 얻을 수 없습니다. 액세스 토큰 문서에서 자세히 알아보세요.
앱에서 이 플로를 사용하지 않는 경우 클라이언트 OAuth 로그인을 비활성화하세요. 클라이언트 OAuth 로그인은 OAuth 클라이언트 토큰 플로를 사용하기 위한 전역 설정-해제 스위치입니다. 앱에서 Facebook 로그인 SDK를 포함하는 클라이언트 OAuth 플로를 사용하지 않는 경우 이 플로를 비활성화해야 합니다. 하지만 클라이언트 OAuth 로그인을 비활성화한 경우 액세스 토큰에 대한 권한을 요청할 수 없습니다. 이 설정은 앱 대시보드의 제품 > Facebook 로그인 > 설정 섹션에서 찾을 수 있습니다.
웹 OAuth 플로를 비활성화하거나 리디렉션 허용 리스트를 지정하세요. 웹 OAuth 로그인 설정은 Facebook 웹 로그인 대화 상자를 사용하여 개발자의 웹사이트에 토큰을 반환하는 OAuth 클라이언트 토큰 플로를 활성화합니다. 이 설정은 앱 대시보드의 제품 > Facebook 로그인 > 설정 섹션에 있습니다. 맞춤 설정 웹 로그인 플로를 빌드하지 않거나 웹에서 Facebook 로그인 SDK를 사용하지 않는 경우 이 설정을 비활성화하세요.
HTTPS를 실행하세요. 이 설정에는 OAuth 리디렉션용 HTTPS가 필요하며, 여기에는 HTTPS 페이지에서만 발생하는 액세스 토큰을 반환하거나 요구하는 Facebook JavaScript SDK 호출이 필요합니다. 2018년 3월 이후에 새로 만든 모든 앱에는 이 설정이 기본적으로 포함되며, 2018년 10월 6일까지 기존의 모든 앱을 HTTPS URL만 사용하도록 마이그레이션해야 합니다. 대부분의 주요 클라우드 앱 호스트는 앱에 대한 TLS 인증서를 무료로 자동 구성해 줍니다. 앱을 자체 호스트하거나 호스팅 서비스에서 기본적으로 HTTPS를 제공하지 않는 경우 Let's Encrypt에서 도메인에 대한 무료 인증서를 얻을 수 있습니다.
앱에서 이를 사용하지 않는 경우 포함(embed)된 브라우저 OAuth 플로를 비활성화하세요. 일부 데스크톱과 모바일 네이티브 앱에서는 포함(embed)된 웹 보기에서 OAuth 클라이언트 플로를 수행하여 사용자를 인증합니다. 앱에서 이를 수행하지 않으면 앱 대시보드의 제품 > Facebook 로그인 > 설정 섹션에서 해당 설정을 비활성화합니다.
앱에서 이를 사용하지 않는 경우 모바일 SSO 플로를 비활성화하세요. 앱에서 iOS 또는 Android 로그인을 사용하지 않는 경우 설정 > 기본의 iOS 및 Android 섹션에서 'SSO' 설정을 비활성화하세요.
앱 대시보드에는 보안 문제를 일으킬 수 있는 공격 영역을 개발자가 차단할 수 있도록 하는 다음과 같은 여러 추가 설정이 있습니다.
Native/Desktop
으로 설정하여 앱이 디컴파일되지 않고 앱 시크릿 코드가 도난당하지 않도록 보호합니다.