자원 소유자 암호 자격 증명 부여
OAuth ROPC(Resource Owner Password Credential) 권한 부여를 구성하면 애플리케이션이 자격 증명을 직접 사용하여 액세스 토큰을 획득함으로써 사용자를 인증할 수 있습니다.
- 이상적 대상:
- 앱이 사용자의 자격 증명을 직접 수집하는 통제된 환경에서 매우 신뢰할 수 있는 내부 클라이언트 애플리케이션입니다.
- 작동 방식:
- 클라이언트 애플리케이션은 사용자의 사용자 이름과 비밀번호를 수집하고 이를 인스턴스로 ServiceNow 직접 전송하여 액세스 토큰을 얻습니다. 이 플로우는 리디렉션 및 동의 화면을 바이패스하지만 사용자 자격 증명을 클라이언트 애플리케이션에 노출하므로 보다 안전한 대안이 불가능한 레거시 또는 엄격하게 통제되는 환경에서만 사용해야 합니다.
보안 고려 사항
ROPC 흐름은 사용자 자격 증명을 클라이언트 응용 프로그램에 직접 노출하므로 최신 대안보다 본질적으로 덜 안전합니다. 클라이언트를 완전히 신뢰할 수 있고, 엄격하게 제어되고, 안전하게 관리되는 시나리오에서만 사용해야 합니다.
절대적으로 필요한 경우가 아니면 최신 애플리케이션에서 이 보조금을 사용하지 마십시오. 보안 사용자 기반 액세스를 위해 자격 증명을 클라이언트에 보관하고 보안 리디렉션 및 토큰 처리 방법을 활용하는 PKCE와 함께 권한 부여 코드 흐름을 사용하는 것이 좋습니다.