GraphQL 쿼리 수신시 클라이언트 인증 추가

[msk]

설명

현재 Giganto는 HTTPS 연결을 수립하는 모든 클라이언트로부터 GraphQL 쿼리를 수락하고 처리하기 때문에, 서비스의 무단 접근, 데이터 조작 및 서비스 거부 공격 등에 노출되어 있습니다.

이 위험을 완화하기 위해 클라이언트 측 SSL 인증서를 사용한 클라이언트 인증을 구현해야 합니다. 여기에는 연결하는 클라이언트로부터 인증서를 검증하고 이것이 사전에 승인된 이름을 포함하는지 확인하는 것이 포함됩니다. 유효하고 승인된 인증서를 가진 클라이언트만 서버에 GraphQL 쿼리를 보낼 수 있게 하는 것이 목적입니다.

필요한 변경 사항

1. 클라이언트 측 SSL 인증서 유효성 검사 추가: 서버 구성을 수정하여 연결시 클라이언트 인증서를 요구하고 검증하도록 합니다.
2. 인증서 이름 확인 구현: 인증서 유효성 검사 과정의 일부로서, 서버는 인증서 이름을 사전에 승인된 이름 목록과 비교하여 확인해야 합니다. 사전에 승인된 이름 목록은 Giganto 구동시 설정 파일로부터 읽습니다.
3. 오류 처리 및 메시지: 다양한 이유로 인증 과정에 실패한 클라이언트에게 의미 있는 오류 메시지가 반환되도록 해야 합니다 (예: 인증서 없음, 유효하지 않은 인증서, 승인되지 않은 이름).
4. 문서 업데이트: 운영 방법을 기술한 문서에 이러한 변경 사항을 반영합니다. 여기에는 클라이언트 측 SSL 인증서의 필요성, 인증서 생성 방법, 그리고 Giganto에서 사용하도록 승인받는 방법이 포함됩니다.