- Cross-origin resource sharing
- 지원되는 OAuth 2.0 플로우
access token
으로 GitLab API에 액세스access token
으로 HTTPS를 통한 Git에 액세스- 토큰 정보 검색
- 토큰 취소
- OAuth 2.0 토큰 및 GitLab 레지스트리
OAuth 2.0 Identity Provider API
GitLab은 OAuth 2.0 프로토콜을 사용하여 제3자 서비스가 사용자를 대신하여 GitLab 리소스에 액세스할 수 있는 API를 제공합니다.
GitLab를 구성하려면 GitLab을 OAuth 2.0 인증 ID 공급자로 구성을 참조하십시오.
이 기능은 doorkeeper Ruby gem에 기반하고 있습니다.
Cross-origin resource sharing
- CORS 사전 검사 요청 지원은 GitLab 15.1에서 도입되었습니다.
많은 /oauth
엔드포인트가 Cross-Origin Resource Sharing(CORS)를 지원합니다. GitLab 15.1부터 다음 엔드포인트도 CORS 사전 검사 요청을 지원합니다:
/oauth/revoke
/oauth/token
/oauth/userinfo
특정 헤더만 사전 검사 요청에 사용할 수 있습니다:
- 간단한 요청에 나열된 헤더.
-
Authorization
헤더.
예를 들어, X-Requested-With
헤더는 사전 검사 요청에 사용할 수 없습니다.
지원되는 OAuth 2.0 플로우
GitLab은 다음과 같은 인가 플로우를 지원합니다:
- Proof Key for Code Exchange (PKCE)를 사용한 인가 코드: 가장 안전합니다. PKCE 없이는 모바일 클라이언트에서 클라이언트 비밀을 포함해야 하며 클라이언트 및 서버 앱에서 모두 권장됩니다.
- 인가 코드: 안전하고 일반적인 플로우입니다. 안전한 서버 측 앱에 권장되는 옵션입니다.
- 리소스 소유자 비밀 자격 증명: 안전하게 호스팅된 일급 서비스에만 사용해야 합니다. GitLab은 이 플로우의 사용을 권장하지 않습니다.
디바이스 인가 그랜트는 지원되지 않습니다. 이슈 332682에서 지원 추가를 제안합니다.
OAuth 2.1의 초안 명세서에서는 명시적으로 암시적 그랜트 및 리소스 소유자 비밀 자격 증명 플로우를 제외하고 있습니다.
모든 이러한 플로우가 어떻게 작동하는지에 대해 알아보고 사용 사례에 맞는 올바른 플로우를 선택하려면 OAuth RFC를 참조하십시오.
인가 코드(Proof Key for Code Exchange 포함) 플로우를 사용하려면 먼저 /user_settings/applications
페이지에서 application
을 등록해야 합니다. 등록 중에 적절한 스코프를 활성화하여 application
이 액세스할 수 있는 리소스 범위를 제한할 수 있습니다. 생성 후에는 application
자격 증명(애플리케이션 ID 및 클라이언트 시크릿)을 획들할 수 있습니다. 클라이언트 시크릿은 안전하게 보관해야 합니다. 애플리케이션 아키텍처가 허용하는 경우 애플리케이션 ID를 비밀로 유지하는 것도 유리합니다.
GitLab의 스코프 디렉터리은 공급자 설명서를 참조하십시오.
CSRF 공격 방지
리다이렉트 기반 플로우를 보호하기 위해 OAuth명세는 “사용자 에이전트에 안전하게 바인딩된 상태 매개변수에 포함된 일회용 CSRF 토큰” 사용을 권장합니다. 이는 /oauth/authorize
엔드포인트에 대한 각 요청마다 CSRF 공격을 방지할 수 있습니다.
운영 시 HTTPS 사용
운영 시에는 redirect_uri
에 HTTPS를 사용하십시오.
개발 시에는 GitLab이 안전하지 않은 HTTP 리디렉트 URI를 허용합니다.
OAuth 2.0은 보안을 전적으로 전송 계층에 근거로 하므로 보호되지 않은 URI를 사용해서는 안됩니다. 자세한 내용은 OAuth 2.0 RFC 및 OAuth 2.0 보안 모델 RFC을 참조하십시오.
다음 섹션에서 각 플로우로 권한 부여하는 방법에 대해 자세한 지침을 찾을 수 있습니다.
Proof Key for Code Exchange (PKCE)를 사용한 인가 코드
PKCE RFC에는 권한 부여 요청부터 액세스 토큰까지의 상세한 플로우 설명이 포함되어 있습니다. 다음 단계에서는 해당 플로우의 구현 방법에 대해 설명합니다.
인가 코드와 PKCE 플로우(PKCE, Proof Key for Code Exchange)는 사용자에게 클라이언트 비밀을 전혀 알 필요가 없이 공개 클라이언트에서 클라이언트 자격 증명을 액세스 토큰으로 안전하게 교환할 수 있게 합니다. 이로 인해 PKCE 플로우가 사용자에게 비밀을 숨길 수 없는 싱글 페이지 JavaScript 애플리케이션 또는 기타 클라이언트 측 앱에 유리합니다.
플로우를 시작하기 전에 STATE
, CODE_VERIFIER
, CODE_CHALLENGE
를 생성해야 합니다.
-
STATE
는 클라이언트가 요청과 콜백 사이의 상태를 유지하기 위해 사용하는 예측할 수 없는 값입니다. 또한 CSRF 토큰으로 사용해야 합니다. -
CODE_VERIFIER
는 길이가 43~128자인 무작위 문자열이며A-Z
,a-z
,0-9
,-
,.
,_
,~
문자를 사용합니다. -
CODE_CHALLENGE
는CODE_VERIFIER
의 SHA256 해시의 URL 안전한 base64로 인코딩된 문자열입니다.- SHA256 해시는 인코딩 전에 이진 형식이어야 합니다.
- Ruby에서는
Base64.urlsafe_encode64(Digest::SHA256.digest(CODE_VERIFIER), padding: false)
로 설정할 수 있습니다. - 참고로, 위의 Ruby 코드 스니펫을 사용하여 해시된
CODE_VERIFIER
문자열이ks02i3jdikdo2k0dkfodf3m39rjfjsdk0wk349rj3jrhf
일 때, 인코딩을 거친CODE_CHALLENGE
문자열은2i0WFA-0AerkjQm4X4oDEhqA17QIAKNjXpagHBXmO_U
입니다.
-
인가 코드를 요청하세요. 이를 위해 다음 쿼리 매개변수와 함께 사용자를
/oauth/authorize
페이지로 리디렉션해야 합니다:https://gitlab.example.com/oauth/authorize?client_id=앱_ID&redirect_uri=리디렉트_URI&response_type=code&state=STATE&scope=요청된_스코프&code_challenge=CODE_CHALLENGE&code_challenge_method=S256
이 페이지에서 사용자에게
요청된_스코프
에 지정된 스코프에 따라 계정에 액세스하기 위한 앱의 요청을 승인할 것인지 묻습니다. 사용자는 지정된리디렉트_URI
로 다시 리디렉션됩니다. 스코프 매개변수는 사용자와 관련된 스코프의 공백으로 구분된 디렉터리입니다. 예를 들어scope=read_user+profile
는read_user
와profile
스코프를 요청합니다. 리디렉트에는 인가code
가 포함됩니다. 예:https://example.com/oauth/redirect?code=1234567890&state=STATE
-
이전 요청에서 반환된 인가
code
(다음 예제에서RETURNED_CODE
로 표시)를 사용하여 HTTP 클라이언트로access_token
을 요청할 수 있습니다. 다음 예제는 Ruby의rest-client
를 사용합니다:parameters = 'client_id=APP_ID&code=RETURNED_CODE&grant_type=authorization_code&redirect_uri=REDIRECT_URI&code_verifier=CODE_VERIFIER' RestClient.post 'https://gitlab.example.com/oauth/token', parameters
예시 응답:
{ "access_token": "de6780bc506a0446309bd9362820ba8aed28aa506c71eedbe1c5c4f9dd350e54", "token_type": "bearer", "expires_in": 7200, "refresh_token": "8257e65c97202ed1726cf9571600918f3bffb2544b26e00a61df9897668c33a1", "created_at": 1607635748 }
-
새로운
access_token
을 검색하려면refresh_token
매개변수를 사용하세요.access_token
이 만료된 후에도refresh_token
을 사용할 수 있습니다. 이 요청:- 기존
access_token
및refresh_token
을 무효화합니다. - 응답에서 새 토큰을 보냅니다.
parameters = 'client_id=APP_ID&refresh_token=REFRESH_TOKEN&grant_type=refresh_token&redirect_uri=REDIRECT_URI&code_verifier=CODE_VERIFIER' RestClient.post 'https://gitlab.example.com/oauth/token', parameters
예시 응답:
{ "access_token": "c97d1fe52119f38c7f67f0a14db68d60caa35ddc86fd12401718b649dcfa9c68", "token_type": "bearer", "expires_in": 7200, "refresh_token": "803c1fd487fec35562c205dac93e9d8e08f9d3652a24079d704df3039df1158f", "created_at": 1628711391 }
- 기존
redirect_uri
는 원래 인가 요청에서 사용된 redirect_uri
와 일치해야 합니다.이제 액세스 토큰으로 API에 요청을 보낼 수 있습니다.
인가 코드 플로우
인가 코드 플로우는 본질적으로 PKCE를 사용한 인가 코드 플로우와 같습니다.
플로우를 시작하기 전에 STATE
를 생성하세요. 이는 클라이언트가 요청과 콜백 사이의 상태를 유지하는 데 사용되는 예측할 수 없는 값입니다. 또한 CSRF 토큰으로 사용해야 합니다.
-
인가 코드 요청. 이를 위해 다음과 같은 쿼리 매개변수를 사용하여 사용자를
/oauth/authorize
페이지로 리디렉션해야 합니다:https://gitlab.example.com/oauth/authorize?client_id=APP_ID&redirect_uri=REDIRECT_URI&response_type=code&state=STATE&scope=REQUESTED_SCOPES
이 페이지는 사용자에게
REQUESTED_SCOPES
에 지정된 범위를 기반으로 앱의 요청을 승인할 것인지 묻습니다. 사용자는 지정된REDIRECT_URI
로 다시 리디렉션됩니다. 범위 매개변수는 사용자와 관련된 범위의 공백으로 구분된 디렉터리입니다. 예를 들어,scope=read_user+profile
은read_user
및profile
범위를 요청합니다. 리디렉션에는 인가code
가 포함됩니다. 예:https://example.com/oauth/redirect?code=1234567890&state=STATE
-
이전 요청에서 반환된 인가
code
(다음 예에서RETURNED_CODE
로 표시)를 사용하여 HTTP 클라이언트를 사용하여access_token
을 요청할 수 있습니다. 다음 예에서는 Ruby의rest-client
를 사용합니다:parameters = 'client_id=APP_ID&client_secret=APP_SECRET&code=RETURNED_CODE&grant_type=authorization_code&redirect_uri=REDIRECT_URI' RestClient.post 'https://gitlab.example.com/oauth/token', parameters
응답 예시:
{ "access_token": "de6780bc506a0446309bd9362820ba8aed28aa506c71eedbe1c5c4f9dd350e54", "token_type": "bearer", "expires_in": 7200, "refresh_token": "8257e65c97202ed1726cf9571600918f3bffb2544b26e00a61df9897668c33a1", "created_at": 1607635748 }
-
새
access_token
을 검색하려면refresh_token
매개변수를 사용하세요.access_token
자체가 만료된 후에도refresh_token
을 사용할 수 있습니다. 이 요청은 다음 작업을 수행합니다:- 기존
access_token
및refresh_token
을 무효화합니다. - 응답에서 새 토큰을 전송합니다.
parameters = 'client_id=APP_ID&client_secret=APP_SECRET&refresh_token=REFRESH_TOKEN&grant_type=refresh_token&redirect_uri=REDIRECT_URI' RestClient.post 'https://gitlab.example.com/oauth/token', parameters
응답 예시:
{ "access_token": "c97d1fe52119f38c7f67f0a14db68d60caa35ddc86fd12401718b649dcfa9c68", "token_type": "bearer", "expires_in": 7200, "refresh_token": "803c1fd487fec35562c205dac93e9d8e08f9d3652a24079d704df3039df1158f", "created_at": 1628711391 }
- 기존
redirect_uri
는 원래 인가 요청에 사용된 redirect_uri
와 일치해야 합니다.이제 반환된 액세스 토큰을 사용하여 API에 요청을 보낼 수 있습니다.
리소스 소유자 암호 자격 증명 플로우
이 플로우에서 토큰은 리소스 소유자 자격 증명(사용자 이름 및 암호)와 교환하여 요청됩니다.
이러한 자격 증명은 다음 경우에만 사용해야 합니다:
- 리소스 소유자와 클라이언트 간에 높은 신뢰 수준이 있는 경우. 예를 들어, 클라이언트가 장치 운영 체제의 일부이거나 고도로 권한이 있는 애플리케이션인 경우.
- 다른 인가 부여 유형을 사용할 수 없는 경우(예: 인가 코드와 같은).
이 부여 유형은 리소스 소유자 자격 증명에 대한 직접적인 클라이언트 액세스를 요구하지만, 리소스 소유자 자격 증명은 단일 요청에 사용되며 액세스 토큰으로 교환됩니다. 이 부여 유형을 사용하면 클라이언트가 리소스 소유자 자격 증명을 장기로 사용할 수 있는 액세스 토큰이나 리프레시 토큰과 교환함으로써 리소스 소유자 자격 증명을 미래 사용을 위해 저장할 필요가 없어질 수 있습니다.
액세스 토큰을 요청하려면 다음 매개변수를 사용하여 /oauth/token
에 POST 요청을 보내어야 합니다:
{
"grant_type" : "password",
"username" : "user@example.com",
"password" : "secret"
}
cURL 요청 예시:
echo 'grant_type=password&username=<your_username>&password=<your_password>' > auth.txt
curl --data "@auth.txt" --request POST "https://gitlab.example.com/oauth/token"
등록된 OAuth 애플리케이션을 사용하여 이 부여 플로우를 사용할 수도 있습니다. 이를 위해 애플리케이션의 client_id
와 client_secret
을 사용하여 HTTP 기본 인증을 사용하세요:
echo 'grant_type=password&username=<your_username>&password=<your_password>' > auth.txt
curl --data "@auth.txt" --user client_id:client_secret \
--request POST "https://gitlab.example.com/oauth/token"
그런 다음 액세스 토큰을 포함한 응답을 받게 됩니다:
{
"access_token": "1f0af717251950dbd4d73154fdf0a474a5c5119adad999683f5b450c460726aa",
"token_type": "bearer",
"expires_in": 7200
}
기본적으로 액세스 토큰의 범위는 api
이며, 완전한 읽기/쓰기 액세스를 제공합니다.
테스트하려면 oauth2
Ruby gem을 사용할 수 있습니다:
client = OAuth2::Client.new('the_client_id', 'the_client_secret', :site => "https://example.com")
access_token = client.password.get_token('user@example.com', 'secret')
puts access_token.token
access token
으로 GitLab API에 액세스
access token
을 사용하면 사용자를 대신하여 API에 요청을 보낼 수 있습니다.
토큰은 GET 매개변수로 전달할 수도 있습니다:
GET https://gitlab.example.com/api/v4/user?access_token=OAUTH-TOKEN
또는 헤더의 Authorization에 토큰을 넣을 수도 있습니다:
curl --header "Authorization: Bearer OAUTH-TOKEN" "https://gitlab.example.com/api/v4/user"
access token
으로 HTTPS를 통한 Git에 액세스
read_repository
또는 write_repository
범위를 가진 토큰은 HTTPS를 통해 Git에 액세스할 수 있습니다. 토큰을 비밀번호로 사용하세요.
사용자 이름은 꼭 oauth2
여야 합니다:
https://oauth2:<your_access_token>@gitlab.example.com/project_path/project_name.git
대신, OAuth로 GitLab에 인증하는 데 Git 자격 증명 도우미를 사용할 수도 있습니다. 이는 OAuth 토큰 갱신을 자동으로 처리합니다.
토큰 정보 검색
토큰의 세부 정보를 확인하려면 Doorkeeper gem이 제공하는 token/info
엔드포인트를 사용하십시오. 자세한 정보는
/oauth/token/info
를 참조하세요.
액세스 토큰을 다음 중 하나로 제공해야 합니다.
-
매개변수로:
GET https://gitlab.example.com/oauth/token/info?access_token=<OAUTH-TOKEN>
-
인증 헤더에 포함하여:
curl --header "Authorization: Bearer <OAUTH-TOKEN>" "https://gitlab.example.com/oauth/token/info"
다음은 예시 응답입니다.
{
"resource_owner_id": 1,
"scope": ["api"],
"expires_in": null,
"application": {"uid": "1cb242f495280beb4291e64bee2a17f330902e499882fe8e1e2aa875519cab33"},
"created_at": 1575890427
}
사용되지 않는 필드
scopes
및 expires_in_seconds
필드가 응답에 포함되어 있지만 더 이상 사용되지 않습니다. scopes
필드는 scope
의 별칭이며, expires_in_seconds
필드는 expires_in
의 별칭입니다. 자세한 내용은 Doorkeeper API 변경 사항을 참조하세요.
토큰 취소
토큰을 취소하려면 revoke
엔드포인트를 사용하십시오. API는 성공을 나타내기 위해 200 응답 코드와 빈 JSON 해시를 반환합니다.
parameters = 'client_id=APP_ID&client_secret=APP_SECRET&token=TOKEN'
RestClient.post 'https://gitlab.example.com/oauth/revoke', parameters
OAuth 2.0 토큰 및 GitLab 레지스트리
표준 OAuth 2.0 토큰은 GitLab 레지스트리에 대한 서로 다른 수준의 액세스를 지원합니다. 이를 통해 사용자는 다음에 대한 인증을 할 수 없지만:
- GitLab 컨테이너 레지스트리.
- GitLab 패키지 레지스트리에 나열된 패키지.
사용자는 컨테이너 레지스트리 API를 통해 레지스트리를 가져오고 나열하며 삭제할 수 있습니다.