공통 [REST API] MAC(Message Authentication Code)/HMAC 델파이로 구현하기

2019.01.14 15:31

험프리 조회 수:2529

REST API 관련 컨설팅 중 학습한 내용을 공유합니다.

 

한 고객사의 요청으로 Unleashed 사의 REST 서비스와 연동을 진행했습니다.

그 과정 중 HMAC(해시 기반 메시지 인증 코드) 구현 과정을 공유합니다.

 

HMAC은 Unleashed 사 뿐아니라 AWS의 REST API 연동에도 사용되는 등 많은 REST 서비스에 구현되는 내용입니다.

MAC과 HMAC

먼저 MAC(Message Authenticate Code: 메시지 인증 코드)를 살펴봅니다.

(출처: https://ko.wikipedia.org/wiki/메시지_인증_코드)

 

MAC는 발신자(Sender)와 수신자(Receiver) 사이에 메시지 변조 여부를 확인하기 위한 메시지 인증 방식입니다.

위 그림을 통해 설명하면, 

Sender는 보내는 메시지(MESSAGE)와 지정된 키(Key)를 조합해 MAC을 만들고 메시지와 MAC을 전달합니다.

Receiver는 메시지와 MAC를 수신 후 메시지와 지정된 키를 조합해 MAC을 만들어 수신한 MAC과 비교해 데이터의 위변조를 판단할 수 있습니다.

 

HMAC(Hashed MAC)는 MAC Algorithm에 해쉬 함수를 적용해 암호화 하는 방식입니다.

 

HMAC 예시

제가 진행한 Unleashed 사는 API 요청 시 HTTP 해더에 다음 정보를 포함해야 합니다.

  • Content-Type, Accept
  • api-auth-id
  • api-auth-signature
Content-type과 Accept는 송수신 시의 데이터 포맷인 application/json을 입력하면 됩니다.
api-auth-id는 서비스 등록 시 발급받은 API ID를 입력하면 됩니다.
api-auth-signature는 HMAC을 생성해 입력해야 합니다.
 

서비스 제공사의 문서를 보면 HMAC-SHA256을 어떻게 만들어야 하는지 안내합니다.

위 문서 중 일부는 다음과 같습니다.
 
The method signature must be generated by taking the query string, and creating a HMAC-SHA256 signature using your API key as the secret key.
(메소드 시그니처는 쿼리 스트링을 가져와 API Key를 시크릿 키로 HMAC-SHA256 시그니처를 생성해야 한다.)
 

위에서 API 키는 서비스 등록시 발급받은 값입니다.

 

쿼리 스트링은 URL 중 "?" 뒤의 문자열입니다. 예를 들면

Customers?customerCode=ACME 중 customerCode=ACME가 쿼리 스트링입니다.

 

HMAC-SHA256은 다음과 같이 구현할 수 있습니다.

 

HMAC-SHA256

다음 샘플은 쿼리스트링(ProductCode=XXX)와 API Key(UNLEASHED_API_KEY: 상수)를 이용해 HMAC을 SHA256으로 시그니처를 생성해 HTTP 해더에 추가하는 내용입니다.

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
uses
  System.Hash,          // sha256
  System.NetEncoding;   // base64
 
var
  signature: string;
  param: string;
begin
  param := 'ProductCode=' + AProductCode;
 
  // PHP: base64_encode(hash_hmac('sha256', $request, $key, true));
  signature := TBase64Encoding.Base64.EncodeBytesToString(
                  THashSHA2.GetHMACAsBytes(param, UNLEASHED_API_KEY, SHA256));
 
  RESTRequest1.Params.AddItem('api-auth-id', UNLEASHED_API_ID, pkHTTPHEADER);
  RESTRequest1.Params.AddItem('api-auth-signature', signature, pkHTTPHEADER, [poDoNotEncode]);
end;

 

추가 학습할 내용

HMAC 인증외에 OAuth 2.0 인증도 많이 사용됩니다.

다음 글을 통해 OAuth 2.0을 통해 카카오 API에 연동하는 내용을 살펴볼 수 있습니다.

 

다음 글들을 통해 REST API를 이해하고 실습할 수 있습니다.
 
이 게시물을
Profile
목록
목록
번호 제목 글쓴이 날짜 조회 수
공지 [DelphiCon 요약] 코드사이트 로깅 실전 활용 기법 (Real-world CodeSite Logging Techniques) 관리자 2021.01.19 15441
공지 [UX Summit 요약] 오른쪽 클릭은 옳다 (Right Click is Right) 관리자 2020.11.16 13962
공지 [10.4 시드니] What's NEW! 신기능 자세히 보기 관리자 2020.05.27 16499
공지 RAD스튜디오(델파이,C++빌더) - 고객 사례 목록 관리자 2018.10.23 22055
공지 [데브기어 컨설팅] 모바일 앱 & 업그레이드 마이그레이션 [1] 관리자 2017.02.06 23268
공지 [전체 목록] 이 달의 기술자료 & 기술레터 관리자 2017.02.06 18923
공지 RAD스튜디오(델파이, C++빌더) - 시작하기 [1] 관리자 2015.06.30 39257
공지 RAD스튜디오(델파이,C++빌더) - 모바일 앱 개발 사례 (2020년 11월 업데이트 됨) 험프리 2014.01.16 174713
1403 [발표자료] 20190214 델파이 24주년 기념 세미나: 델파이 앱 현대화 방안 - 다양한 데이터 서비스 연동하기 관리자 2023.04.20 1442
1402 [10.4 시드니][업데이트 2] TNUMBERBOX – 새로운 VCL 컨트롤 관리자 2023.03.09 488
1401 [10.4 시드니][업데이트 2] TCONTROLLIST – 새로운 VCL 컨트롤 관리자 2023.03.09 385
1400 이 달의 기술자료 - 2021년 09월 file 험프리 2021.08.26 1507
1399 [고객 사례- 델파이, 모바일, 전략] 축구 전술 기획 앱 - Soccer Playview 관리자 2021.08.20 1369
1398 데스크탑, 무엇과도 비교할 수 없는 강력한 생산성의 동력 관리자 2021.08.18 1299
1397 RAD스튜디오 11, 미리보기! 관리자 2021.08.17 1153
1396 RAD스튜디오 11을 준비하는 방법 관리자 2021.08.17 1078
1395 REST 웹서비스, 델파이에서 어떻게 활용해야 할까요? 관리자 2021.08.11 1212
1394 이 달의 기술자료 - 2021년 08월 file 험프리 2021.07.29 1172
1393 [TCoffeeAndCode] – 대규모 프로젝트 관리와 IDE 성능 향상 방안 관리자 2021.07.22 1084
1392 [LEARN TO CODE] 코드 썸머 캠프 2021 관리자 2021.07.16 1081
1391 RAD스튜디오 11, 곧 만나볼 수 있습니다: 새 버전 안내 & 베타 테스터 초대장 관리자 2021.07.15 1178
1390 무료 데이터베이스 활용하기 (여러 데이터베이스 기능 비교) 관리자 2021.07.13 1217
1389 이번주! 꼭 알아야 할 C++ 기술 관리자 2021.07.09 1215
1388 웹사이트 메트릭스, 앱에 바로 적용하는 방법 관리자 2021.07.09 1147
1387 새로운 무료 개발 도구들 관리자 2021.07.07 1278
1386 윈도우 11: 공룡들을 전멸 시킬 유성이 곧 쏟아집니다. 관리자 2021.07.02 1251
1385 델파이용 로우 코드 앱 마법사(LOW CODE APP WIZARD) 관리자 2021.06.25 1284
1384 이 달의 기술자료 - 2021년 07월 험프리 2021.06.24 1296
쓰기
태그