pile·
보안·vercel-blogVercel Blog·

Vercel OIDC 토큰의 커스텀 오디언스 지원

Vercel OIDC 발급자(`oidc.vercel.com`)가 커스텀 오디언스 클레임을 지원하기 시작했다. 기존 고정 오디언스(`https://vercel.com/{owner}`) 방식은 특정 제공자가 침해됐을 때 공격자가 동일 토큰으로 다른 서비스에 인증을 시도할 수 있었는데, 이제 배포마다 서드파티별 고유 `aud` 클레임을 설정해 토큰 격리가 가능하다.

핵심 포인트
  • 기존 고정 오디언스 취약점: 제공자 A 침해 시 공격자가 같은 토큰으로 제공자 B 인증 시도 가능 — 커스텀 `aud` 클레임으로 `aud` 불일치 검증 실패를 유도해 재사용을 차단한다
  • 토큰 교환 흐름: Vercel 서명 원본 토큰을 교환 서비스가 수락 → 동일 키로 재서명하되 `aud` 클레임을 요청한 오디언스로 업데이트한 새 토큰 반환
  • 교환 토큰은 프로젝트·환경·소유자·만료 등 원본 클레임 전체를 보존하며, `act` (행위자) 클레임을 추가해 감사 가능한 위임 체인을 기록한다
  • `jti` (JWT ID) 옵션으로 교환 토큰에 고유 식별자를 부여해 서비스 간 토큰 사용 추적과 감사에 활용할 수 있다
  • 다운스트림 서비스는 `https://oidc.vercel.com/{owner}/.well-known/jwks` 공개 키로 교환 토큰을 검증한다
왜 읽나Vercel 배포와 외부 클라우드 서비스를 OIDC로 연동할 때 커스텀 오디언스로 토큰 격리를 강화하려는 DevOps·보안 엔지니어에게 실용적인 레퍼런스.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2