깃허브 엑세스 토큰 노출에 따른 보안 위협

[DaleSeo]

관련 대화: https://discord.com/channels/775115965964222492/1289773425207803964/1294869211331428434

별도의 백엔드 없이 프론트엔드에서 바로 깃허브 API 연동을 하기 위해서는 엑세스 토큰이 사용자에게 노출된다. 우선은 엑세스 토큰에 읽기 권한만 부여하여 프로젝트를 진행하기로 했지만, 여전히 보안 측면에서 모범 사례에서 벗어나는 관행이다. 뿐만 아니라 나중에라도 실수로 엑세스 토큰에 쓰기 권한을 주었을 경우 우리 깃허브 조직 아래에 있는 데이터가 위험에 빠질 수 있다.

본 티켓을 통해 깃허브 엑세스 토큰을 좀 더 안전하게 관리할 수 있는 방법을 탐구하자.

[DaleSeo]

@Sunjae95 @HC-kang 당장 blocker는 아니지만, 프로젝트 후반에 재고해보면 좋을 것 같아서 일단 티켓만 생성해놓겠습니다. 혹시 조사하신 부분이 있으시면 댓글로 간단히 달아놓으시면 좋을 것 같습니다.

[Sunjae95]

토큰을 Fine-grained personal access tokens과 Personal access tokens 두가지 방법으로 만들수있습니다. 참고
제가 생각하기엔 Fine-grained personal access tokens은 beta버전이기에 적합하지않고 Personal access tokens으로 api 요청을 해야한다 가정하고 조사했는데요.
Discord에서 @HC-kang 님도 언급하신 내용처럼 프로젝트가 읽기가 필요한 api 토큰이기에 아래이미지처럼 토큰을 생성시 권한을 제한하는것이 좋아보입니다.

org의 read 권한으로 토큰생성해서 팀과 멤버에 대해서만 팀생성 api테스트했을 때 403 오류가 나와서 정상작동하는 걸로 확인돼요.
토큰 옵션 설정 범위 참고

제가 파일읽기 api는 어디 속해있는지 찾지못해서 이 부분 @HC-kang 님이 확인후 공유해주시면 감사합니다 😊

[HC-kang]

디렉토리 정보 조회에 대한 API는 Get a tree이고, 저희 레포(leetcode-study)가 Public 레포인지라 별도의 토큰 발급은 불필요합니다!