[TIL] 인증/보안 - OAuth

Today I Learned

OAuth2.0

• OAuth : 인증을 위한 공개 표준 프로토콜

• 사용자의 패스워드가 노출되지 않도록 하면서 API접근 위임
  - 패스워드를 사용한 직접 인증은 제3자에게 패스워드를 넘겨주는 순간 유저의 모든 권한을 넘겨준다는 문제점이 있다.

• OAuth 2.0 HTTPS 사용이 필수이며 암호화는 HTTPS에 맡긴다.

• OAuth의 주체 :

  	- Resource Owner (사용자: 앱의 유저)

  • Client (앱)
  • Resource Server (자원서버: google, fb, kakao 등의 API 서버)
  • Authorization Server (인증서버: google, fb, kakao 등의 인증 서버)

• OAuth2.0 프로세스 :
  
  출처 : 페이코개발자센터

• OAuth2.0 4가지 권한 획득 방식 :
  - Authorization Code Grant

  • Implicit Grant
  • Resource Owner Password Credentials Grant
  • Client Credentials Grant

Authorization Code Grant

• OAuth2.0에서 가장 빈번하게 사용되는 권한 획득 방식
• 사용자가 인증서버에 authority code를 요청 -> authority code로 클라이언트에 요청 -> 인증서버에 자원서버에 있는 유저의 자원에 대한 대한 access token, refresh token 요청 -> 클라이언트는 access token으로 자원서버의 API 호출