OAuth2 Security Checklist

OAuth 인증 제공자가 지켜야 하는 보안 사항

1. TLS 적용

2. 최소 범위(scope) 설정

3. Refresh Token 사용 관리

4. State 파라미터 활용

5. Redirect URI 검증 및 고정

6. 클라이언트 ID 및 비밀 보호

7. 액세스 토큰의 수명 제한

8. Implicit Grant Flow 사용 제한

9. 액세스 토큰의 안전한 전송

10. 로그 및 모니터링 (IDS/IPS 포함)

11. 동적 클라이언트 등록 제한

12. 사용자 로그아웃 시 모든 토큰 무효화

13. 클라이언트 자격 증명 보호

14. Bearer 토큰의 안전한 전송

15. 권한 부여 코드와 토큰 재사용 방지

16. 사용자 정보의 최소한 제공

17. 불필요한 인증 정보 전송 금지

18. 만료된 토큰 처리

19. 강력한 암호화 방식 적용

20. 세션 고정 공격 방지

21. Resource Owner Password Credentials Grant 사용 제한

22. 주기적인 보안 감사 및 취약점 점검

23. Open Redirect 취약점 방지

24. 다단계 인증(MFA) 지원

25. API 속도 제한 및 할당량 관리

26. 악의적인 클라이언트 차단 기능

27. 민감한 로그 데이터 마스킹

28. CSRF 공격 방지

29. 사용자 승인 화면에 정보 제공

30. 세션 만료 및 자동 로그아웃 처리

31. 로그 데이터 보호 및 감사 추적 기능

32. IDS/IPS를 통한 공격 탐지 시스템 구축

33. 타임아웃 및 계정 잠금 정책

34. 승인된 범위(scope) 세부 설정

35. 취약점 관리 및 주기적 패치 적용

36. 클라이언트 유형 구분 및 자격 증명 강화

37. 사용자 로그아웃 시 클라이언트와 동기화

38. 사용자 동의 관리 및 접근 제어

39. 리프레시 토큰의 만료 및 재사용 제한

40. 토큰 철회 기능 지원

41. 사용자 IP 및 위치 기반 접근 제어

42. 행동 기반 인증(Behavior-Based Authentication) 적용

 

 

OAuth 클라이언트가 지켜야 하는 보안 사항

1. TLS를 통한 안전한 인증 요청

2. 최소 범위(scope)만 요청

3. Refresh Token 안전하게 관리

4. State 파라미터 사용

5. Redirect URI 사전 등록 및 고정된 URI 사용

6. 액세스 토큰 안전한 전송

7. 로그아웃 시 모든 토큰 무효화 요청

8. Bearer 토큰의 안전한 전송 (HTTP 헤더로)

9. 사용자 정보 요청 시 최소한으로 설정

10. 불필요한 인증 정보 전송 금지

11. 정기적인 보안 점검

12. 사용자 승인 화면에 명확한 정보 제공 (UI/UX)

13. 세션 만료 및 자동 로그아웃 기능

14. 새로운 토큰 발급 시 사용자 알림

15. 정책 기반 접근 제어(PBAC)

16. 계정 잠금 및 타임아웃 정책 준수

17. 안전한 비밀번호 정책 적용

18. 동시 접속 제한

19. PKCE 사용 (public 클라이언트)

20. 클라이언트 자격 증명 강화 (confidential vs public)

21. 사용자 로그아웃 동기화

22. 비밀번호 없는 인증 방식 지원

23. 로그아웃 후 캐시된 데이터 제거

24. IP 및 위치 기반 접근 관리