# Hydra RP Consent 시도 기록 ## 목표 - 샘플 RP(`52a597f0-5b06-4fcb-b804-93e88a56a75a`)와 사용자(`b24051@hanmaceng.co.kr`, Kratos ID: `22607c1b-bfbf-4a90-9505-36b348472e7a`) 사이에 Hydra consent 세션을 생성. ## 시도한 방법과 실패 원인 ### 1) hydra 컨테이너 내부에서 `sh` 실행 후 스크립트 수행 - 시도: `docker exec -i ory_hydra sh -lc '...'` - 실패: `sh`가 존재하지 않음 (Hydra 컨테이너가 distroless 이미지). - 원인: 쉘 바이너리 미포함. ### 2) `curlimages/curl` 컨테이너를 hydra 네트워크에 붙여서 consent 생성 흐름 수행 - 시도 흐름: 1. `/oauth2/auth` 호출로 `login_challenge` 획득 2. Admin API로 `login_challenge` 수락 3. `login_accept.redirect_to`(보통 `http://127.0.0.1:3000/...`)로 이동해 `consent_challenge` 추출 - 실패: `login_accept.redirect_to`가 **consent app(127.0.0.1:3000)**로 향하는데, 해당 서비스가 떠 있지 않아 접근 불가. - 원인: consent app가 실행 중이 아니라 127.0.0.1:3000 접속 실패. ### 3) `login_accept.redirect_to`를 그대로 호출해 Location 헤더에서 consent_challenge 추출 시도 - 실패: 위와 동일하게 consent app 경로를 직접 호출하게 되어 연결 실패. - 원인: consent app 미기동. ### 4) DCR(동적 클라이언트 등록) 시 metadata 포함 시도 - 실패: `invalid_client_metadata` (DCR에서는 `metadata`를 설정할 수 없음) - 원인: Hydra DCR 정책 제한. ## 요약 - **핵심 실패 원인**은 consent app(로그인/동의 UI)이 실행 중이 아니라서 redirect_to를 따라가면 접속이 불가능한 점. - distroless 이미지로 인해 `docker exec`로 쉘 스크립트를 바로 실행할 수 없음. ## 다음 시도(새 방식) - consent app로 직접 이동하지 않고, **Hydra public endpoint**에서 `login_verifier`를 이용해 `consent_challenge`를 추출한 뒤 Admin API로 수락. - 흐름: 1. `/oauth2/auth` → `login_challenge` 2. `/oauth2/auth/requests/login/accept` → `login_verifier` 3. `/oauth2/auth?client_id=...&login_verifier=...` 호출 → Location 헤더에서 `consent_challenge` 추출 4. `/oauth2/auth/requests/consent/accept` 호출 ## 추가 시도 및 결과 ### 5) login_verifier를 이용한 consent_challenge 생성 (public /oauth2/auth 호출) - 시도: `login_verifier`로 `/oauth2/auth?login_verifier=...` 호출 → Location에서 `consent_challenge` 추출 시도 - 실패: `login_verifier has already been used` 또는 `invalid_client` 등으로 예제 redirect(`https://example.com/callback?...`) 에러 반환 - 원인 추정: - `login_verifier`는 1회성으로, 기존 흐름(redirect_to 또는 consent app)에 의해 이미 사용됨 - `login_verifier`만으로는 client 맥락이 부족하여 invalid_client 발생 가능 ### 6) 임시 consent app(127.0.0.1:3000) 없이 redirect_to 직접 호출 - 실패: consent app 미기동으로 연결 불가 - 원인: login/consent UI URL이 기본값(127.0.0.1:3000)이라 실제 서비스 필요 ### 7) Python 컨테이너에서 임시 consent app + 클라이언트 플로우 실행 - 방법: python:3.12-alpine 컨테이너에서 - 127.0.0.1:3000에 최소 consent 앱 실행 - `/oauth2/auth` 호출을 따라가며 login/consent 자동 수락 - 결과: - 첫 시도에서 `state` 길이 부족으로 `invalid_state` 발생 - 이후 `state/nonce` 길이 충분히 늘려 재시도 중 ## 현재 결론 - 실제 consent 앱이 없으면 Hydra는 consent_challenge를 만들 수 없고 흐름이 중단됨. - 임시 consent 앱을 컨테이너 내부에서 띄우는 방식이 가장 현실적이며, 이 흐름으로 계속 진행 중. ### 8) devfront/hydra-rp-dummy.py + docker mount 실행 - 방식: `hydra-rp-dummy.py`를 컨테이너에 마운트하여 임시 consent app(127.0.0.1:3000)으로 로그인/동의 자동 수락 - 결과: 최종 리다이렉트가 `request_forbidden` (CSRF 쿠키 없음) 에러로 종료됨 - 하지만 Hydra Admin 조회 결과 consent 세션은 생성됨 - `handled_at`: 2026-01-30T05:01:46.770699Z - subject: `22607c1b-bfbf-4a90-9505-36b348472e7a` - client_id: `52a597f0-5b06-4fcb-b804-93e88a56a75a` - grant_scope: `openid profile email` ### 상태 - consent 세션 생성 완료(확인됨) - 최종 리다이렉트 단계에서 CSRF 오류는 남아 있으나, 목적(연동/동의 저장)은 달성됨