Community

Open allianCE for iot stANDard

ACP 관련하여 질문드립니다.
동우 강 | 2018-03-14 15:03 | Views 1624 | New

안녕하세요 ACP에 관련된 질문이 있어 요청 드립니다.


웹 서버 구축을 하는데

따로 DATABASE를 생성하지 않고

오롯이 MOBIUS 서버 만을 이용하여 구축을 하려고 합니다.


유저를 전부 디바이스와 같은 형태로 AE or Container로 만들고

그 하위에 인스턴스로 정보,비밀번호등을 JSON 혹은 PLAIN TEXT 타입으로 저장하는 형태로 될거 같은데


유저 정보에 접근을 막기위해서 ACP를 이용하려고 합니다.


제가 의도한 것은 ACP를 생성할때 acor에 저만 알 수 있는 값을 넣어서

그 값을 요청 헤더의 X-M2M-Origin에 넣어야만 정보 조회가 가능하다고 판단 하여

USER 컨테이너에 acpi 속성을 주어 다른 이가 값을 보는 행위를 막으려고 했지만

CSE의 ID(csi)값을 X-M2M-Origin에 넣으면 어떤 형태의 ACP가 걸려있어도 FULL OPERATION(63)으로 다 이용이 가능한것을 확인했습니다.


security.js 확인 결과 요청 헤더의 X-M2M-Origin값이 CSE ID(csi) 값과 일치하면 그냥 통과 시켜주는것 같더군요.


문제는 csi 값은 CSE BASE에 조회만 요청해도 누구나 쉽게 알수 있는 값이여서 의도했던 거와는 전혀 다르게 흘러갔습니다.


ACP는 정보가 많지 않아서 제가 맞게 사용하려는건지 잘 모르겠습니다.


여기서 질문 드리고 싶은 점은


1. 저 헤더의 origin 값과 csi값이 동일하다면 acpi list를 비교하지 않고 그냥 통과시키는 게 의도된 거라면 ACP에 정확한 용도는 어디에 써야 합니까?


2. 제가 생각하는 다른 DATABASE SERVER 없이 유저도 AE로 바라보고 사용하는게 알맞게 사용된것이며, 구현이 가능할까요?


물론 소스코드를 조금 수정해서 의도대로 갈 수도 있겠으나

될수 있으면 만들어진 의도에 맞게 사용하고 싶어서 질문을 드립니다.