customerKey 관련 보안 이슈 + customerKey 변경 시 발생하는 이슈
안녕하세요! 이번에 brandpay 연동작업간에 궁금한 점이 생겨 문의드립니다.
현재 토스 위젯을 사용하고 있는데 위젯을 열기위해 제공하는 customerKey 를 숫자유형의 유저 pk로 사용하고 있습니다.
토스 문서를 살펴보니 customerKey는 uuid같이 유추할 수 없는 값으로 사용하기를 권장하고 있는걸 확인했습니다.
이번에 브랜드페이 accessToken발급 요청에서 이 customerKey가 사용되기에 해당 api에서 세션의 유저가 customerKey와 동일한지 검증하는 로직을 추가하려 합니다.
이러한 보안조치를 추가했지만 여전히 customerKey를 숫자로 한 경우 발생할 수 있는 보안이슈가 있을지 궁금합니다.
추가로 customerKey를 유추불가능 문자열로 바꾸려고 할 때 기존에 오랜기간 숫자로 사용하고 있던 경우 발생할 수 있는 이슈가 있을까요?
customerKey관련 내용으로 검색해보니 자동결제나, 통계, 브랜드 페이 등에서 사용하는거 같은데 저희는 아직 이 기능을 사용하지 않았습니다.
토스에서 제공하는 다른 서비스에서 발생할 수 있는 이슈가 있을까요?
5 Replies
⏳ 잠시만 기다려주세요! 곧 답변드리겠습니다
오류 문의일 경우 아래 정보를 미리 전달해주시면, 빠른 답변에 도움이 됩니다.
- 주문번호(orderId) :
- 문의 내용 :
(img를 함께 첨부해주시면 도움이됩니다)
* 계약관련 내용은 1544-7772로 문의주세요.
* 주말/공휴일에는 답변이 늦을 수 있어요.
숫자로 하셔도 됩니다. 이메일 같은 식별자를 사용하지 말라는 의미입니다.
그리고
해당 api에서 세션의 유저가 customerKey와 동일한지 검증하는 로직을 추가 하신다면 큰 문제 없습니다.아 그렇군요. 답변 감사합니다!
❤️ 기술문의 경험이 어떠셨나요?!
간단히 코멘트 남겨주세요! 제품 발전에 큰 힘이 됩니다.