OAuth 1.0

OAuth 1.0은 사용자 자격 증명을 노출하지 않고도 타사 애플리케이션이 보호된 리소스에 접근할 수 있도록 하는 권한 부여 프레임워크입니다. OAuth 2.0으로 대부분 대체되었지만, OAuth 1.0은 여전히 일부 레거시 서비스 및 API에서 사용됩니다.

OAuth 1.0은 타임스탬프 및 논스와 함께 서명 메커니즘을 사용하여 요청의 무결성과 진위성을 검증하고, 재전송 공격을 방지합니다. 토큰과 키는 승인된 애플리케이션 및 서비스 제공자만 알고 있으므로 안전한 통신을 보장합니다.

레거시 프로토콜

OAuth 1.0은 레거시로 간주됩니다. 대부분의 최신 API는 OAuth 2.0을 사용합니다. API 제공자가 요구하는 경우에만 OAuth 1.0을 사용하십시오(예: Twitter API v1.1).

기본 설정

Auth 페이지에서 권한 부여 방법으로 OAuth 1.0을 선택하고 다음 매개변수를 구성하십시오.

매개변수	설명	목적
Add Location	인증 데이터를 포함할 위치	`Request Body/Request URL` 또는 `Request Header`를 선택합니다
Signature Method	암호화 알고리즘	`HMAC-SHA1`, `HMAC-SHA256`, `HMAC-SHA512`, `RSA-SHA1`, `RSA-SHA256`, `RSA-SHA512` 또는 `PLAINTEXT`
Consumer Key	애플리케이션 식별자	서비스 제공자가 할당한 고유 ID
Consumer Secret	애플리케이션 비밀 키	서비스 제공자가 할당한 비밀 값
Access Token	사용자 권한 부여 토큰	사용자가 애플리케이션을 승인한 후 발급되는 토큰
Token Secret	토큰 비밀 문자열	서명 생성을 위해 액세스 토큰과 연결된 비밀 값

서명 방식

HMAC 기반: 가장 일반적이며, 공유 비밀 값을 사용합니다

RSA 기반: 공개/개인 키 쌍을 사용하며, 더 안전하지만 복잡합니다

PLAINTEXT: 프로덕션 환경에는 권장되지 않습니다(암호화 없음)

추가 OAuth 1.0 매개변수를 구성하려면 Advanced 옵션을 클릭하십시오. 비워 두면 자동으로 생성됩니다.

매개변수	설명	목적
Callback URL	권한 부여 후 리디렉션 URL	사용자가 애플리케이션을 승인한 후 리디렉션되는 위치
Verifier	검증 코드	사용자 권한 부여를 검증하기 위한 임의 문자열(서비스 제공자가 생성)
Timestamp	Unix 타임스탬프	요청 시간을 표시하여 재전송 공격을 방지합니다
Nonce	임의의 고유 문자열	각 요청을 고유하게 식별하여 재전송 공격을 방지합니다
Version	OAuth 버전	기본값이며, 일반적으로 변경할 필요가 없습니다
Realm	보안 도메인	보호된 리소스의 범위를 식별합니다

Include body hash: 활성화하면 요청 본문의 해시를 서명에 포함합니다

Add empty parameters to signature: 활성화하면 비어 있는 매개변수를 서명 계산에 포함합니다

자동 생성

Apidog는 Timestamp 및 Nonce 값을 비워 두면 자동으로 생성하여 수동 구성 없이도 적절한 보안을 보장합니다.