AppTomo APIM v5
AppTomo APIM 솔루션은 API Gateway, API Engine, API Portal 등 3 가지 제품으로 구성된 올인원(All-in-One) 플랫폼으로서, API Engine이 Mainframe, TP, WAS, SAP 등 레거시 서비스를 API로 자동으로 변환해 주며, 이렇게 변환된 API를 API Gateway를 통해 외부에 오픈API로 제공합니다.
AppTomo APIM v5 올인원 플랫폼의 시스템 구성은 다음과 같습니다.
AppTomo API Gateway
API Gateway는 외부의 오픈API호출에 대한 인증/인가 및 유량제어(Rate-limit) 등 API에 대한 인증/인가·보안·통제 기능을 제공합니다. 개별인증을 통한 인가코드 발급 및 접근토큰 발급, 통합인증을 통한 1차/2차 접근토큰 발급, 접근토큰의 발급/갱신/폐기, 아웃바운딩(Out-bounding) API 제공 등을 수행합니다. AppTomo API Gateway의 주요 기능은 다음과 같습니다.
AppTomo API Engine
API Engine은 Mainframe, TP, WAS, SAP 등 레거시 서비스와 자산을 아무런 변경없이 일관되고 자동으로 API로 생성하고, API Gateway를 통해 외부에 안전하고 완전하게 오픈API로 서비스 해 줍니다. API Engine은 레거시 시스템을 직접(direct) 연동하거나, MCI, EAI, FEP 등을 통해 연동해 주는 API 중계/브릿지 시스템으로서, 체이닝거래 통제 및 거래추적 등 디팩토 표준(De-facto Standard)으로 자리매김하였습니다. API Engine의 주요 기능은 다음과 같습니다.
API Engine은 다음과 같은 디팩토 표준(De-facto Standard)을 제시하였습니다.
AppTomo API Portal
API Portal은 제공기관 및 이용기관 관리, API 라이프싸이클 관리, 자격증명 및 TLS인증서 관리, API전문정의서 기반의 자동 생성, API export/import, API개발자 커뮤니티 및 테스트 등 지속 성장 가능한 API 생태계 및 비즈니스 관리 등을 제공합니다. 이와 함께, 오픈API 및 API 관리를 위한 API Gateway 및 API Engine 관리, 레거시 연계 인터페이스 및 아답터 관리, API Portal 메뉴/역할/권한 관리 등 주요 관리 기능을 제공합니다. API Portal의 주요 기능은 다음과 같습니다.
API Portal의 주요 메뉴는 다음과 같습니다.
AppTomo APIM v5 패키지
오픈API All-in-One 솔루션, AppTomo APIM v5는 각 제품의 구성에 따라 AppTomo MyData, AppTomo B2B, AppTomo ESB, AppTomo MSA 등으로 패키징되며, 각 패키지별 구성은 다음과 같습니다.
API Gateway | API Config | API Engine | API Portal | 비고 | ||||
External | Internal | Engine | Proxy | Admin | Developer | |||
AppTomo APIM | O | O | O | O | O | O | AppTomo 오픈API All-in-One 플랫폼 | |
AppTomo MyData | O | O | O | O | O | MyData 전용 AppTomo 패키지 - 메리츠화재 - 한화손보 - 동양생명 | ||
AppTomo B2B | O | O | O | O | O | O | B2B 전용 AppTomo 패키지 - 메리츠화재 - 한화손보 | |
AppTomo ESB | O | O | ESB 전용 AppTomo 패키지 - 메리츠화재 | |||||
AppTomo MSA | O | O | O | O | O | O | O | MSA 전용 AppTomo 패키지 |
오픈API 활용 프로세스
AppTomo 플랫폼 기반의 오픈API 운영 프로세스
AppTomo 플랫폼 기반의 오픈API 운영 프로세스에 대해 살펴보면, 다음과 같습니다.
각 프로세스에 대한 자세한 설명은 하단에서 확인할 수 있습니다.
오픈API 생성
제공기관 오픈 API 개발 절차
1. 인터페이스 등록
2. API 등록 프로세스
3. 오픈API 등록 프로세스
제공기관 운영전 사전준비
1. API서비스그룹 생성
2. 오픈API서비스그룹 생성
3. 접근권한(SCOPE) 생성
이용기관등록
B2B 활용 절차
1-1. B2B 이용기관 등록/승인 프로세스 - 승인
1-2. B2B 이용기관 등록/승인 프로세스 - 반려
2. B2B 이용기관 사용자 등록/승인 프로세스
APP 등록
1. APP 등록 프로세스 - 이용기관
2. APP키 발급
3. APP 등록 프로세스 - 운영기관
4. 승인라인 설정
SAP을 웹시스템으로 개발하기, SAP API
SAP은 ABAP(Advanced Business Application Programming) 이라는 4세대 언어를 이용하여 개발한 전용 프로그램(RFC; Remote Function Call)을 SAP 전용 클라이언트 프로그램을 통해 액세스 해야 합니다. 이를 위해, SAP 전용 클라이언트 프로그램이나 고도의 전문적인 기술력을 확보한 개발자를 통해서, SAP 연계를 위한 프로그램을 작성해야 합니다.
SAP API는 웹 기반의 업무 시스템에서 SAP에서 제공하는 RFC 프로그램을 API를 호출하듯이, 어떤 언어를 이용하더라도 API만 호출할 줄 알면 누구나 쉽게 연계할 수 있도록 해 줍니다. 웹 시스템은 SAP에서 데이터를 불러오거나 SAP에 데이터를 저장하기 위해 SAP API를 호출하여 전송하기만 하면 쉽고 빠르게 웹 시스템을 개발할 수 있으며, 사용자 역시 익숙한 웹 기반의 시스템에서 SAP에 데이터를 저장하거나 가져와서 기존 업무를 보다 효율적으로 처리할 수 있도록 해 줍니다.
SAP® Out-bound API의 생성 절차는 다음과 같습니다.
웹 기반의 업무 시스템 상에서 SAP API를 이용하여 SAP을 연계하는 동작 메커니즘은 다음과 같습니다.
SAP® Out-bound API 동작 메커니즘
SAP® In -bound API 동작 메커니즘
이 중 SAP® In-bound API 인터페이스의 동작 메커니즘은 다음과 같습니다.
SAP® API 구축 사례
SAP API는 웹 기반의 업무 시스템에서 SAP에서 제공하는 RFC 프로그램을 API를 호출하듯이, 어떤 언어를 이용하더라도 API만 호출할 줄 알면 누구나 쉽게 연계할 수 있도록 해 줍니다. 웹 시스템은 SAP에서 데이터를 불러오거나 SAP에 데이터를 저장하기 위해 SAP API를 호출하여 전송하기만 하면 쉽고 빠르게 웹 시스템을 개발할 수 있으며, 사용자 역시 익숙한 웹 기반의 시스템에서 SAP에 데이터를 저장하거나 가져와서 기존 업무를 보다 효율적으로 처리할 수 있도록 해 줍니다. 또한 고객의 요구사항과 웹 시스템 개발에 따라 SAP의 기능을 최대한으로 이용할 수 있도록 지원합니다.
다음은 고객사에 구축한 마이데이터 과금/정산 업무 및 SAP API 연계 사례입니다.
마이데이터 과금/정산 시스템
마이데이터 과금/정산 시스템은 마이데이터 정보제공 현황에 대한 과금/정산 금액이 전자 세금계산서로 발행되면, 이를 웹 시스템에 등록한 뒤 SAP 연계를 통해 재무 시스템으로 전송합니다. 마이데이터 과금/정산 시스템을 중심으로 SAP API 프로세스 전반에 대해 살펴보면 다음과 같습니다.
SAP® Out-bound API를 호출 시, 인터페이스의 요청(In)/응답(Out) 전문구조에 따라 전문을 변환한 후 SAP® Out-bound Adaptor가 SAP RFC를 호출합니다. 여기서 SAP® Out-bound Adaptor를 사전에 등록해주어야 하며 그에 대한 정보는 다음과 같습니다.
Ⅱ. SAP® Out-bound 인터페이스 전문 생성
SAP Out-bound 연계를 위해 인터페이스를 등록하고, 각 항목을 다음과 같이 설정합니다.
SAP RFC에 대한 요청(In) 전문을 파싱하기 위해 요청 전문구조 및 변환 룰을 다음과 같이 정의합니다.
SAP RFC에 대한 응답(Out) 전문을 파싱하기 위해 응답 전문구조 및 변환 룰을 다음과 같이 정의합니다.
Ⅲ. SAP® API 등록
인터페이스 등록을 마친 뒤에는 다음과 같이 API 메소드와 호출을 위한 API URI, SAP 호출을 위해 등록한 인터페이스를 지정하여 API를 등록합니다.
Ⅳ. Postman 호출
업무시스템에서 SAP FRC를 호출하는 테스트를 위해 API Client 툴인 Postman을 이용합니다.
Ⅴ. 마이데이터 과금/정산 업무 및 SAP API 연계
SAP API와의 연계를 이용하는 마이데이터 과금/정산 업무의 처리 프로세스는 다음과 같습니다.
1. 마이데이터 과금/정산 비용 등록 프로세스
2. 과금/정산 SAP 전송 프로세스
3. SAP API 전송 확인
마이데이터 비즈니스 확장 방안
마이데이터 비즈니스의 확장 방안에 대해 살펴보면, 마이데이터 사업자는 고객의 신용정보전송 요구권에 따라 마이데이터 정보제공자로부터 수집한 고객의 신용정보를 기반으로 보험·대출 등 외부 상품을 비교·중개·판매하고, 상품 공급자로부터 모집·판매 또는 맞춤형 광고 수수료를 수취하는 것을 메인 비즈니스 모델로 확장할 수 있습니다.
반대로, 마이데이터 정보제공자는 고객의 신용정보전송 요구권에 따라 마이데이터 사업자에게 전송한 고객의 신용정보 통계를 확인하여, 고객, 마이데이터 사업자, 마이데이터 API(상품 정보 제공 내역) 등의 이용현황을 파악하고, 이를 바탕으로 고객의 이탈은 물론 해당 마이데이터 사업자의 관심도 등에 대한 선제적인 대응을 반드시 해야 합니다. 이를 위해, ‘AppTomo MyData’는 정보제공자 마이데이터 포털을 통해 다음과 같은 주요한 마이데이터 통계를 제공해 줍니다.
마이데이터 정보제공자는 마이데이터 통계 기능을 통하여 다음의 효과를 기대 할 수 있습니다.
이용현황
정보제공자 마이데이터 포털의 이용현황 메뉴에서는 마이데이터 정보제공 현황을 마이데이터 사업자/API/고객별로 세분화하여 명확한 수치를 확인할 수 있습니다. 이용현황의 하위 메뉴는 다음과 같습니다.
마이데이터 이용현황
사업자별 API 이용현황
사업자별 API 이용현황 화면에서는 특정 마이데이터 사업자의 API 호출내역에 대한 정보를 API/통계정보 구분에 따라 보다 세분화하여 확인할 수 있습니다.
API별 사업자 이용현황
API별 사업자 이용현황 화면에서는 특정 API를 호출한 마이데이터 사업자들의 호출 내역에 대한 정보를 마이데이터 사업자/통계정보 구분에 따라 보다 세분화하여 확인할 수 있습니다.
고객별 사업자 이용현황
고객별 사업자 이용현황 화면에서는 연령대/성별에 따라 고객을 그룹화하여 특정 고객그룹이 어떤 마이데이터 사업자를 통해 마이데이터 서비스를 이용했는지 확인할 수 있습니다.
고객별 API 이용현황
고객별 API 이용현황 화면에서는 연령대/성별에 따라 고객을 그룹화하여 특정 고객그룹이 어떤 API를 호출했는지 확인할 수 있습니다.
통계조회
정보제공자 마이데이터 포털의 통계조회 메뉴에서는 마이데이터 정보제공 현황을 기간/마이데이터 사업자/API/고객별로 세분화하여 그래프 형태로 시각화하여 사용자에게 효율적으로 데이터 인사이트를 제공합니다. 통계조회의 하위 메뉴는 다음과 같습니다
일별 마이데이터 통계
일별 마이데이터 통계 화면에서는 지정한 일자의 00시부터 23시까지의 마이데이터 정보제공 현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 일자의 마이데이터 사업자와 API, 통계정보 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다. 또한 지정한 조건에 해당하는 API 호출내역을 Excel 형태로 다운로드가 가능합니다.
주차별 마이데이터 통계
주차별 마이데이터 통계 화면에서는 지정한 주의 일요일부터 월요일까지의 마이데이터 정보제공 현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 주차의 마이데이터 사업자와 API, 통계정보 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다. 또한 지정한 조건에 해당하는 API 호출내역을 Excel 형태로 다운로드가 가능합니다.
월별 마이데이터 통계
월별 마이데이터 통계 화면에서는 지정한 달의 1일부터 마지막일자까지의 마이데이터 정보제공 현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 달의 마이데이터 사업자와 API, 통계정보 오류여부를 조건으로 지정하여 원하는 데이터만을 그래프 형태로 확인할 수 있습니다.
연도별 마이데이터 통계
연도별 마이데이터 통계 화면에서는 지정한 연도의 1월부터 12월까지의 마이데이터 정보제공 현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 연도의 마이데이터 사업자와 API, 통계정보 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다.
사업자별 마이데이터 통계
사업자별 통계 화면에서는 특정 API에 대해 각 마이데이터 사업자별 호출현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 기간(최대 30일)과 API, 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다.
API별 마이데이터 통계
API별 통계 화면에서는 특정 마이데이터 사업자가 호출한 API 현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 기간(최대 30일)과 마이데이터 사업자, 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다.
고객별 마이데이터 통계
고객별 통계 화면에서는 연령대/성별에 따라 고객을 그룹화하여 특정 고객그룹이 이용한 마이데이터 사업자와 정보제공 API 호출현황을 그래프 형태로 제공합니다. 사용자는 조회하고자 하는 일자와 마이데이터 사업자, 오류여부를 조건으로 지정하여 원하는 데이터만을 조회할 수 있습니다.
오픈API 기반의 B2B2C 플랫폼
B2B2C 전자상거래는 기업간 거래인 B2B와 소비자 대상 거래인 B2C개념을 혼합한 형태로 기업에 제품이나 서비스를 제공하고 그 기업은 다시 인터넷을 통해 소비자에게 제품이나 서비스를 제공하는 비즈니스 모델입니다.
현재 B2B2C 전자상거래는 시장 내에서 급 부상 중인 비즈니스 모델이며, 그 이유에 대해 다음과 같이 분석하고 있습니다.
또한 고객에 맞는 데이터베이스를 가공해 이를 전략적 마케팅으로 연결하는 노하우가 뛰어나다는 장점을 갖고 있습니다.
출처 : https://www.etnews.com/200008070010
보험업계의 경우 자사가 보유한 손보생〮보(보험/대출 상품)을 오픈 API를 통해 플랫폼 업체와 거래하는 B2B(Business to Business)와 구매력이 있는 고객에게 플랫폼 업체가 보험/대출 서비스를 제공하는 B2C(Business to Customer)로 나뉘는데, B2B2C 플랫폼은 이를 통합하여 차별화된 서비스를 제공하고자 합니다.
B2B2C 오픈API 플랫폼 아키텍처
B2B2C 오픈API 플랫폼 아키텍처 유형은 다음과 같습니다.
1. 고객사 IDC 내에 직접 구축하는 On-Premise B2B2C 오픈API 플랫폼 아키텍처
2. AWS 클라우드에 구축하는 AWS Cloud向 B2B2C 오픈API 플랫폼 아키텍처
오픈API 서비스 이용 절차
오픈API 서비스 이용절차는 다음과 같습니다.
오픈API 서비스는 개발망에서 사전검증을 마친 뒤 운영망에 반영하여 고객에게 서비스를 제공합니다. 오픈API 서비스 이용절차의 각 단계를 세분화하면 다음과 같습니다.
1. 오픈API 서비스 이용 계약
① 표준 오픈API 서비스 이용 계약서를 활용하여, 오픈API 서비스 이용 계약을 진행
② 이용기관의 오픈API 접근서버 IP(개발서버, 운영서버), 관리자IP 제출
③ 보안성심의 체크리스트 수령
2. 보안성 점검
① 이용기관은 보안성심의 체크리스트 작성 후, 제공기관 정보보호파트에 제출하여 보안성 점검을 받음
② 점검방법 : 제공기관 정보보호파트에서 제시한 보안성심의 체크리스트를 작성 및 제출
③ 점검항목 : 제공기관 정보보호파트에서 지정한 점검항목 (보안성심의 체크리스트)
④ 점검주체 : 제공기관 정보보호파트 (또는 제공기관에서 지정한 전문 업체)
⑤ 소요기간 : 1주 ~ 2주
⑥ 제출시기 : 계약 후 작성 및 제출
⑦ 기타 : 개발 및 정보보호 방안 등을 상세히 작성 필요
⑧ 제공기관은 보안성 점검 후, 이용기관 접근서버의 방화벽을 해제함
⑨ 테스트 GW서버, 테스트 개발자포털(이용기관 관리자)
3. [개발망] 이용기관 및 관리자 가입 및 승인
① 개발자포털에 접속
② 회원가입 > 기관 등록 화면으로 이동
③ 약관동의, 이용기관 및 관리자 정보 입력 후 기관 회원가입 신청
④ 이용기관 정보를 확인하여 제공기관 관리자가 승인 또는 거절함
4. [개발망] 이용기관 개발자 가입 및 승인
① 개발자포털에 접속
② 회원가입 > 개발자 등록 화면으로 이동
③ 약관동의, 이용기관 개발자 정보 입력 후 회원가입 신청 (이 때, 사업자등록번호가 일치해야 함)
④ 제공기관 관리자가 이용기관 개발자를 승인 또는 거절함 (관리자 > 포탈 관리 > 이용기관 사용자)
5. [개발망] APP 등록 및 승인
① 관리자 로그인 > APP관리 화면으로 이동
② APP 정보를 입력하고 중복검사를 한 후, 승인 요청
③ 이용기관 APP 정보를 확인하여, 제공기관 관리자가 승인 또는 거절함
6. [개발망] APP키 생성 및 운영 전환
① 관리자 로그인 > APP관리 화면으로 이동
② 승인 받은 APP을 선택하고, APP키(client_id, client_secret)를 생성함
③ 오픈API 활용서비스를 개발할 수 있는, APP은 '운영' 상태로 자동 전환됨
7. [개발망] 오픈API 활용서비스 개발
① 오픈API 활용서비스 개발가이드 내용에 준하여 개발
② 이용기관은 제공기관 보안성심의 체크리스트 내용에 준하여 개발 (APP키를 이용하여 접근토큰 발급)
8. 오픈API 활용서비스 테스트
① 이용기관 관리자/개발자는 오픈API를 활용하여 개발한 APP의 기능별 단위테스트를 수행
② 이용기관 관리자/개발자와 제공기관 업무담당자는 전체 프로세스에 대한 통합테스트 수행
③ 이용기관 개발자는 APP 실행, 제공기관 기간계/현업 담당자는 API 요청/응답 데이터 정합성 체크
9. 보안성심의 자료 작성
① 이용기관 관리자/개발자는 보안성 점검 시에 가이드 받은 내용에 따라서 보안성심의 체크리스트 작성
② 실제 개발한 사항을 직관적으로 체크리스트에 작성하고, 증적자료를 별도 파일에 준비
10. 취약점 점검 / 모의해킹
① 개발 및 통합테스트가 완료된 오픈API 활용서비스에 대하여 취약성 점검 및 모의해킹 수행
② 보안성 점검 시, 제공기관 정보보호파트에서 수행 절차를 설명함
③ 이용기관 개발자는 취약점 점검 및 모의해킹 결과를 반영하여 오픈API 활용서비스를 개발
11. 보안성심의
① 이용기관은 보안성심의 체크리스트, 보안성심의 증적자료, 취약점 점검 및 모의해킹 결과, 취약점 점검 및 모의해킹 조치 결과 사항을 제공기관 정보보호파트에 제출
② 점검방법 : 제공기관 보안성심의 체크리스트에 대한 적용 결과를 작성하여 서면으로 제출
③ 점검항목 : 제공기관 정보보호파트에서 지정한 점검항목 (보안성 점검 체크리스트)
④ 점검주체 : 제공기관 정보보호파트 (또는 제공기관에서 지정한 전문 업체)
⑤ 소요기간 : 1주 ~ 2주
⑥ 점검시기 : 서비스 취약점 점검 및 모의해킹 완료 후, 운영계 반영 전
기타 : 운영 및 정보보호 방안 등을 상세히 작성 필요
⑦ 제공기관 정보보호파트에서 보안성 심의를 진행
⑧ 보안성심의 미흡사항이 있을 경우, 보안성심의 체크리스트 수정 및 활용서비스 수정·개발
⑨ 보안성심의가 완료되면, 운영GW 서버의 방화벽을 해제
12. [운영망] 이용기관 및 관리자 가입 및 승인
① 운영자포털에 접속
② 회원가입 > 기관 등록 화면으로 이동
③ 약관동의, 이용기관 및 관리자 정보 입력 후 기관 회원가입 신청
④ 이용기관 정보를 확인하여 제공기관 관리자가 승인 또는 거절함
13. [운영망] 이용기관 개발자 가입 및 승인
① 운영자포털에 접속
② 회원가입 > 개발자 등록 화면으로 이동
③ 약관동의, 이용기관 개발자 정보 입력 후 회원가입 신청 (이 때, 사업자등록번호가 일치해야 함)
④ 제공기관 관리자가 이용기관 개발자를 승인 또는 거절함 (관리자 > 포탈 관리 > 이용기관 사용자)
14. [운영망] APP 등록 및 승인
① 관리자 로그인 > APP관리 화면으로 이동
② APP 정보를 입력하고 중복검사를 한 후, 승인 요청
③ 이용기관 APP 정보를 확인하여, 제공기관 관리자가 승인 또는 거절함
15. [운영망] APP키 생성 및 운영 전환
① 관리자 로그인 > APP관리 화면으로 이동
② 승인 받은 APP을 선택하고, APP키(client_id, client_secret)를 생성함
③ 오픈API 활용서비스를 개발할 수 있는, APP은 '운영' 상태로 자동 전환됨
16. 오픈API 활용서비스 운영 반영 및 테스트
① 이용기관은 오픈API 활용서비스에 운영용 APP키를 설정하고, 운영 환경에 등록함
② 이용기관과 제공기관 업무담당자는 운영환경에서 오픈API 활용서비스 통합테스트 수행
17. 오픈API 활용서비스 대고객 오픈
① 이용기관 관리자/개발자는 오픈API 활용서비스가 포함된 APP을 App Store나 플레이스토어 등 APP마켓에 등록 또는 오픈API 활용 서비스가 포함된 Web서비스를 고객에게 오픈
② 이용기관 서비스가 정상적으로 작동하는지 주기적으로 모니터링
오픈API 개발자 포털 주요 기능
오픈API 개발자포털은 이용기관 관리자와 이용기관 개발자에게 각각 다른 역할권한을 부여하여 접근할 수 있는 기능을 제한합니다. 역할 별로 이용할 수 있는 주요 기능은 다음과 같습니다.
기능 | 이용기관 관리자 | 이용기관 개발자 |
---|---|---|
이용기관 정보 등록/관리 | O | X |
이용기관 관리자 등록/관리 | O | X |
APP등록/관리 | O | X |
오픈API 사용신청 | O | X |
APP키 생성/관리 | O | X |
개발자 등록/관리 | O | O |
오픈API 테스트 | O | O |
커뮤니티(Q&A, FAQ, 개발자포럼) | O | O |
오픈API 활용서비스 개발 | X | O |
오픈API 활용서비스 인증 방안
B2B2C 오픈API 플랫폼에서는 다양한 인증방식을 사용하여 보안성을 유지합니다. 오픈API 활용서비스에서 사용하는 인증방안은 다음과 같습니다.
1. 통신방법
2. APP키 발급 방안
3. 접근토큰 Grant Type
4. 메시지 무결성 보장 방안
- 헤더 전송 항목 : 접근토큰, timestatmp, hash 값 등
5. 파라메터 암호화 방안
오픈API 활용서비스 인증 방안
이용기관 및 이용자는 오픈API를 이용하기 위해 접근토큰을 발급받아 필수적으로 입력해야 합니다. 발급받은 접근토큰은 보안 상의 이유로 외부에 탈취되지 않도록 life-cycle을 정하여 관리합니다. 이용기관 및 이용자의 접근토큰 관리 방안은 다음과 같습니다.
구분 | 설명 | |
---|---|---|
이용기관 접근토큰 | 발급 | url : /b2b/v1/oauth/2.0/token |
애플리케이션 구동 시 발급 | ||
갱신 | url : /b2b/v1/oauth/2.0/token | |
접근토큰 유효기간(90일) 종료 이전, 갱신토큰을 이용하여 갱신 | ||
폐기 | url : /b2b/v1/oauth/2.0/revoke | |
계약 또는 서비스 종료시. 또는 유효기간이 지나면 자동 폐기 | ||
관리방안 | 이용기관 접근토큰은 애플리케이션 SCOPE로 유지해야 하고, 애플리케이션 재기동시, 반드시 이용기관 접근토큰를 재발급 받아 Redis와 같은 메모리 캐시 서버에 저장하여 관리해야 함. 이전에 발급받은 이용기관 접근토큰은 접근토큰 폐기 API를 호출하여 명시적으로 폐기. 접근토큰 발급시 기존에 발급받은 접근토큰은 자동으로 폐기됨. | |
이용자 접근토큰 | 본인인증 | 이용자 접근토큰 발급을 위해서는 이용자 본인인증 必, 상품별 본인인증 절차 및 API가 다를 수 있음. |
발급 | url : /b2b/v1/oauth/2.0/token | |
이용자 세션 생성 시, 본인인증 후 발급 | ||
갱신 | url : /b2b/v1/oauth/2.0/token | |
접근토큰 유효기간(10분) 종료 이전, 갱신토큰을 이용하여 갱신 | ||
폐기 |