보안 요구사항

연동의 모든 구간에 적용되는 보안 항목입니다. 출시 전에 꼭 확인해 주세요.

• 전송 — 모든 엔드포인트·콜백·페이지는 HTTPS/TLS 만 사용합니다.
• 인증 — server-to-server 호출은 제휴사가 발급한 시크릿으로 인증합니다. 쏠브는 시크릿을 안전하게 보관하고, 로그에 남기지 않습니다.
• user_key — 한 번 발급된 값은 절대 바뀌지 않아야 하며, 회원 간에 겹치지 않아야 합니다. 값이 바뀌면 사용자는 연동과 권한을 잃게 됩니다.
• ⓑ 콜백 — 재생·CSRF 방어는 쏠브가 처리합니다. 쏠브가 응답으로 발급하는 redirect_url 은 1회용이며, 제휴사는 받은 URL 을 그대로 사용해 주세요. 별도 state 나 nonce 는 구현하지 않으셔도 됩니다. 콜백은 인증에 성공한 경우에만 호출합니다.
• 자격증명 — ⓑ 흐름에서는 ID·비밀번호가 쏠브로 전달되지 않습니다. ⓐ 흐름에서는 쏠브가 TLS server-to-server 로만 자격증명을 전달하며, 로그에 남기지 않습니다.
• rate limit — 따로 두지 않으셔도 됩니다. 만약 설정하신다면 분당 600회 (초당 10회) 이상 으로 넉넉히 잡아 주세요. 쏠브는 사용자 책장 진입·전체 동기화 시점에 burst 로 호출할 수 있고, 일시 장애 시 자동 재시도도 합니다.
• 시크릿 회전 — 제휴사가 발급한 시크릿을 회전해야 할 때는 미리 알려 주세요. 쏠브에서 신·구 시크릿을 일정 기간 병행 적용한 뒤 구 시크릿을 폐기합니다.

재연동 시 계정 이전

같은 제휴사 회원이 이미 다른 쏠브 사용자에게 연동돼 있을 때, 새로 연동을 시도하면 이전 연동을 먼저 해제하고 새 사용자에게 이전됩니다. 제휴사는 user_key 의 불변·유일성만 지켜 주시면 되고, 이전 처리는 쏠브가 담당합니다.