customerKey 관련 보안 이슈 + customerKey 변경 시 발생하는 이슈
안녕하세요! 이번에 brandpay 연동작업간에 궁금한 점이 생겨 문의드립니다.
현재 토스 위젯을 사용하고 있는데 위젯을 열기위해 제공하는 customerKey 를 숫자유형의 유저 pk로 사용하고 있습니다.
토스 문서를 살펴보니 customerKey는 uuid같이 유추할 수 없는 값으로 사용하기를 권장하고 있는걸 확인했습니다.
이번에 브랜드페이 accessToken발급 요청에서 이 customerKey가 사용되기에 해당 api에서 세션의 유저가 customerKey와 동일한지 검증하는 로직을 추가하려 합니다.
이러한 보안조치를 추가했지만 여전히 customerKey를 숫자로 한 경우 발생할 수 있는 보안이슈가 있을지 궁금합니다.
추가로 customerKey를 유추불가능 문자열로 바꾸려고 할 때 기존에 오랜기간 숫자로 사용하고 있던 경우 발생할 수 있는 이슈가 있을까요?
customerKey관련 내용으로 검색해보니 자동결제나, 통계, 브랜드 페이 등에서 사용하는거 같은데 저희는 아직 이 기능을 사용하지 않았습니다.
토스에서 제공하는 다른 서비스에서 발생할 수 있는 이슈가 있을까요?
현재 토스 위젯을 사용하고 있는데 위젯을 열기위해 제공하는 customerKey 를 숫자유형의 유저 pk로 사용하고 있습니다.
토스 문서를 살펴보니 customerKey는 uuid같이 유추할 수 없는 값으로 사용하기를 권장하고 있는걸 확인했습니다.
이번에 브랜드페이 accessToken발급 요청에서 이 customerKey가 사용되기에 해당 api에서 세션의 유저가 customerKey와 동일한지 검증하는 로직을 추가하려 합니다.
이러한 보안조치를 추가했지만 여전히 customerKey를 숫자로 한 경우 발생할 수 있는 보안이슈가 있을지 궁금합니다.
추가로 customerKey를 유추불가능 문자열로 바꾸려고 할 때 기존에 오랜기간 숫자로 사용하고 있던 경우 발생할 수 있는 이슈가 있을까요?
customerKey관련 내용으로 검색해보니 자동결제나, 통계, 브랜드 페이 등에서 사용하는거 같은데 저희는 아직 이 기능을 사용하지 않았습니다.
토스에서 제공하는 다른 서비스에서 발생할 수 있는 이슈가 있을까요?
