이 페이지가 유용했습니까?
이 콘텐츠에 대한 여러분의 의견은 중요합니다. 의견을 알려주십시오.
추가 의견
1500자 남음
인증 프로토콜 선택

인증 프로토콜 선택

업데이트 날짜: 2014년 2월

 

DataMarket 로고

응용 프로그램을 만든 다음 마켓플레이스에서 폭넓은 고객층을 대상으로 마케팅을 할 수 있습니다. 응용 프로그램의 마켓플레이스 데이터 사용 여부에 관계없이 마켓플레이스를 활용하여 응용 프로그램을 판매하는 커뮤니티에 참여할 수 있습니다. 마켓플레이스에서는 프로비저닝과 대금 청구를 처리하며 응용 프로그램 판매 수익을 제공합니다. 응용 프로그램이 마켓플레이스 데이터를 사용하는 경우 사용자는 인증 및 권한 부여를 거쳐야 데이터 집합을 사용할 수 있습니다.

WAM(Windows Azure 마켓플레이스)는 OAuth 및 HTTP 기본 인증의 두 가지 인증 프로토콜을 지원합니다. 응용 프로그램의 대상 사용자와 사용 방식에 따라 사용할 프로토콜을 결정합니다.

HTTP 기본 인증과 OAuth 인증은 모두 사용자를 인증할 수 있으며 보호되는 리소스에 대한 액세스를 적절하게 허용하거나 거부할 수 있습니다.

응용 프로그램에 대해 다음 정보를 확인하면 보다 효율적인 프로토콜을 파악할 수 있습니다.

  • 마켓플레이스에서 응용 프로그램을 판매할지 여부

  • 사용자가 하나 이상의 마켓플레이스 데이터 집합에 액세스하는지 여부

이 두 항목 중 하나라도 해당되는 경우 OAuth 인증 프로토콜을 사용해야 합니다.

마켓플레이스의 HTTP 기본 인증 구현에서는 사용자 ID를 무시하며 유효한 암호 계정 키만 암호로 사용하면 됩니다. 사용자 ID를 무시할 수도 있고 사용량과 대금 청구를 직접 관리하려는 경우 특정 사용자를 식별하는 데 사용할 수도 있습니다. 응용 프로그램에서 HTTP 기본 인증 프로토콜을 사용하여 마켓플레이스에 액세스하는 경우 다음 사항이 적용됩니다.

  • 모든 액세스가 단일 계정을 통해 이루어집니다.

  • 모든 사용자가 단일 암호(마켓플레이스 계정 키)를 공유하고 사용합니다.
    계정 키는 코드에 포함되든 사용자가 입력하든지에 관계없이 기밀성과 보안성이 떨어집니다. 따라서 악용 가능한 취약점이 발생할 수 있습니다.

  • 마켓플레이스에서는 단일 계정(계정 키의 소유자, 대개 계정 소유자)에 대한 모든 액세스에 대금을 청구합니다.

  • 계정 키를 변경하여 사용자 한 명에 대한 액세스 권한을 제거하면 모든 사용자의 액세스 권한이 제거됩니다.

  • 계정 키 소유자가 구독한 데이터 집합만 사용자에게 제공됩니다.

  • 개별 사용자가 사용 요금을 결제하도록 하려면 개별 사용을 관리하고 대금을 청구해야 합니다.

See 마켓플레이스 앱에서 HTTP 기본 인증 구현.

마켓플레이스의 OAuth 구현에서는 사용자의 Windows Live ID와 암호 및 응용 프로그램의 등록 키(client_id)를 활용하여 데이터 집합에 인증하고 데이터 집합 액세스 권한을 부여합니다. OAuth를 사용하는 경우 몇 가지 보안 이점이 추가로 제공됩니다. 예를 들어 클라이언트와 사용자를 인증할 수 있으며 리소스 소유자를 비롯한 다른 사람에게 노출될 위험 없이 클라이언트에 액세스 토큰을 직접 발급할 수 있습니다.

응용 프로그램에서 OAuth 프로토콜을 사용하여 마켓플레이스에 액세스하는 경우 다음 사항이 적용됩니다.

  • 응용 프로그램을 마켓플레이스에 등록해야 합니다.

  • 각 사용자에게 Windows Live ID가 있어야 합니다.

  • 모든 액세스가 사용자의 개별 계정을 통해 이루어집니다.

  • 사용 대금은 개별 사용자 계정에 청구됩니다.

  • 사용자 한 명의 액세스 권한을 제거해도 다른 사용자에게는 영향을 주지 않습니다.

  • 응용 프로그램에서 해당 시나리오를 지원하는 경우 사용자가 구독하는 모든 데이터 집합에 액세스할 수 있습니다.

  • 마켓플레이스에서 사용자의 계정 및 대금 청구를 관리합니다.

See 마켓플레이스 앱에서 OAuth 구현.

위의 설명을 고려하면 HTTP 기본 인증은 사용하지 않는 것이 좋다고 생각할 수도 있습니다. 그러나 HTTP 기본 인증을 사용하는 것이 더 효율적인 두 가지 이유가 있습니다. 첫째로, HTTP 기본 인증을 구현하는 데 필요한 코드는 OAuth를 구현하는 코드보다 더 짧고 간단합니다. 둘째로, 응용 프로그램을 혼자서만 사용하려는 경우에는 OAuth의 유동적이고 복잡한 기능이 필요하지 않습니다.

참고 항목

표시:
© 2015 Microsoft