WebView에서 구글 로그인 시 발생하는 403 에러, 올바르게 해결하기

[pachuho]

문제

안드로이드 웹뷰에서 구글 로그인을 시도하는 경우 403 에러가 발생하고 있다.
이는 웹뷰 설정상의 문제가 아닌 구글 정책의 일환으로 웹뷰에서 Oauth 사용을 제한하고 있기 때문에 발생하는 에러 화면이다.

구글은 더 나은 보안과 사용성을 위해 이를 제한하고 있다고 한다.
구체적으론 다음 이유가 있다고 생각한다.

1. 사용자 정보 탈취 위험성
   앱 개발자가 웹뷰 제어권을 모두 가지고 있으므로 사용자가 타이핑한 정보가 브릿지 등을 통해 탈취되거나 HTTPS가 적용되지 않은 웹사이트 접근 시 취약점에 노출되어 문제가 될 우려가 있다.
2. 사용성 개선
   웹뷰에서 Oauth 요청 시 각 앱에서 요청하던 것을 기기 브라우저로 통합하여 사용자 입장에서는 최소한의 로그인만 시도해도 서비스를 이용할 수 있다.

[pachuho]

해결 방법

위 정책 위반을 해결하는 방법, 정확히는 해결하는 방법과 우회하는 방법이 있다.
우회하는 방법은 가장 간단한 방식으로 구글 로그인 시 임베디드 웹뷰가 아닌 것처럼 위장하는 것이다.

fun initWebView() {
    // set webView
    webView.settings.userAgentString = getUserAgent()
}

fun getUserAgent(): String {
    return "Mozilla/5.0 (Linux; Android 12;) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Mobile Safari/537.36;"
}

아주 간단한 방법으로 처리가 가능하니 많은 유저들이 사용하는 방식이다.

하지만 이 방식을 사용하는 것은 앞서 말한 구글의 정책을 무시하는 행위이며 이로 인한 보안 이슈가 발생할 수 있다.
뿐만 아니라 구글에서 정책 수준을 강화할 때 마다 userAgentString 값을 수정해 새로 배포해야 한다.

실제로 상기 코드가 적용되어 있었으나 403 에러가 발생하면서 새로운 우회 코드를 적용해야 에러가 발생하지 않았다.

private fun getUserAgent(userAgentString: String): String {
    return userAgentString.replace("; wv", "").replace("Android \${Build.VERSION.RELEASE};", "")
}

하지만 로그를 확인해보면 Self-XSS 공격을 통해 문제가 발생할 수 있다고 경고 로그가 출력된다.

Self-XSS: 공격자가 피해자가 되는 유형의 XSS로써, 사용자를 속여 자신의 웹 브라우저에서 악성 코드를 실행하게 함으로써 웹 계정을 장악하는 보안 취약점

[pachuho]

올바르게 해결하기

WebView에서 Google 로그인이 감지되면 Chrome Custom Tabs을 통해 해당 URL을 띄우는 방식을 사용한다.

        override fun onCreateWindow(view: WebView?, isDialog: Boolean, isUserGesture: Boolean, resultMsg: Message?): Boolean {
            ...

            newWebView.webViewClient = object : WebViewClient() {
                override fun shouldOverrideUrlLoading(view: WebView, url: String): Boolean {
                    if (url.contains("accounts.google.com")) {
                        val intent = CustomTabsIntent.Builder().build()
                        intent.launchUrl(context, url.toUri())
                        return true
                    } else {
                        webView.loadUrl(url)
                    }
                    return false
                }
            }

            return true
        }

이 방식에도 단점이 존재한다.
CustomTabsIntent을 통해 load 시킨 내장 브라우저가 기존에 사용자와 상호작용하던 웹뷰의 상단에 띄워지는 형태다.
적절한 처리가 없다면 UX에 문제가 발생할 수 있으며 내장 브라우저이기 때문에 설정에 한계가 있다.
가령 pip 모드를 제공하고 싶지 않음에도 이를 disable 처리할 수 없다.

따라서 적절한 정책을 설정하고 WebView와 Chrome Custom Tabs, 필요하다면 Native환경에서 Google SDK 사용 등을 고려해 개발할 필요가 있다.