이 섹션에서는 들어오고 나가는 API Call과 관련된 보안을 다룹니다.
- 이 문서에서는 API 보안을 구체적으로 다룹니다. Bubble의 API 기능 전반에 대해 자세히 알아보려면 아래 글을 확인하세요
API (초급) : 버블의 API 시스템 기본 개념, incoming, outgoing 연결 > 바로가기
- 다른 애플리케이션 및 서비스와의 연결을 설정하는 것은 Bubble의 핵심 강점 중 하나이며 아웃바운드 요청을 만들고 인커밍 요청을 수락하는 데 많은 기능을 제공합니다.
- 일반적으로 Bubble의 API 도구는 보안을 자동으로 처리하고 기본적으로 엄격한 설정으로 설정되어 실수로 취약점을 설정할 위험을 줄입니다.
- 이 글에서는 인커밍 및 아웃바운드 연결이 모두 안전한지 확인하기 위해 개발자로서 수행할 수 있는 작업을 살펴보겠습니다.
(1) 최소 권한의 원칙
- 앱 커넥터 보안 계획 섹션에서는 최소 권한 원칙을 소개했었습니다.
이는 API 연결을 설정할 때 중요한 지침이기도 합니다.
최소 권한의 원칙이란?
최소 권한의 원칙은 각 개인이나 시스템이 특정 작업을 수행하는 데 필요한 접속 권한을 “충분하게” 보장하는 것이 아니라 적합한 접속 권한 보다 조금도 더 확보하지 못하도록 “최소”의 권한만 보장하는 것입니다.
Bubble API 커넥터 및 Bubble API를 살펴볼 때 이를 기본 원칙으로 생각하세요
- 예를 들어 API 호출이 단순히 데이터를 가져오거나 읽기 위해 설계된 경우 해당 데이터를 변경하거나 삭제할 수 있는 권한이 있어서는 안 됩니다.
- 이 "충분한" 접근 방식을 고수함으로써 의도치 않게 잠재적인 보안 위험이 발생하지 않도록 할 수 있습니다.
- 이는 앱과 데이터의 무결성과 안전성을 유지하는 간단하면서도 중요한 원칙입니다.
(2) API Connector 보안
API Connector는 아웃바운드 API 요청을 타사 앱이나 시스템에 보내는 데 사용됩니다.
- 아래 문서에서는 이를 설정하는 안전한 설명 합니다. API 커넥터에 대해 잘 모르는 경우 해당 주제에 대한 일반 글을 읽어 보는 것도 좋습니다.
1. API Connector 보안
API Connector 플러그인 보안 (중급) : API Key 보안, Parameter 보안, API Call 보안, URL 보안 > 바로가기
2. API Connector
API Connector (중급) : 버블 API 커넥터 설정 및 사용, HTTP method, endpoint > 바로가기
(3) Data API 보안
Data API는 Bubble API의 일부이며 데이터베이스의 데이터를 다른 앱이나 시스템과 안전하게 공유할 수 있는 방법을 제공합니다.
1. Data API 보안
Data API 보안(중급) : 최소 권한의 법칙, 인증과 허가 및 권한부여, Data API 보안 체크리스트 > 바로가기
2. Data API
DATA API endpoint (중급) : endpoint 의미와 URL형식 > 바로가기
DATA API Request (중급): postman API 테스트, GET, POST, PATCH, BULK POST, Pagination, Sorting > 바로가기
3. Data API 개인 정보 보호 법칙
Data API & Privacy rule (중급) : 버블의 데이터 API 활성화, 데이터 보호규칙 설정 > 바로가기
(4) Workflow API 보안
Workflow API는 Bubble API의 한 부분으로, 다른 앱이나 시스템에서 API 워크플로를 트리거하는 방법을 제공합니다.
1. Workflow API 보안
Workflow API 보안 (중급) : authentication, authorization, 인증, 허가 및 권한부여, privacy rule, 조건식 > 바로가기
2. Workflow API
Workflow API & Privacy Rule (중급) : 워크플로 API 활성화, privacy rule 무시 설정 > 바로가기
