[OAuth] 무엇인가

⚡️ OAuth를 알기전에 알아야할 용어

💡 Resource Server: 자원서버(우리가 사용하고싶은 자원을 가지고 있는 서버)
💡 Resource Owner: 자원의 주인(사용자)
💡 Resource Client: 내가 만든 어플리케이션( resource server의 자원을 사용하는 곳) - Third party application

** Authorization Server는 이후에 설명하겠다.

⚡️OAuth 란?

보안수준이 검증된: 아마존, 구글 등 사이트의 API 를 이용해 인증받는 방법!

접근 위임을 위한 개방형 프로토콜(인증방식의 표준) 이다. 쉽게 말하면 구글, 카카오, 페이스북 등 타사 웹 서비스 계정에 관한 정보를 공유할 수 있게 허용함으로써 접근 권한을 부여한다.

즉, 비밀번호를 직접 제공하지 않아도 타사의 웹 서비스(구글, 카카오)에 저장된 계정에 관한 정보를 이용해 계정에 관한 인증을 받을 수 있다.

⚡️ OAuth를 왜 사용하고 왜 필요한가?

기존의 인증방식, OAuth가 개발되기전 모든 사용자 인증은 아이디와 비밀번호를 활용한 인증방식 혹은 각 서비스를 개발한 회사들이 지정한 인증방식을 통해 이루어졌다.

🕹 비밀번호 인증방식의 문제

1. 인증방식에 대한 표준화가 되어 있지 않았다!
2. 사용자가 thrid party application 에 비밀번호 제공하기를 꺼려한다
3. 만약 여러 서비스에 같은 비밀번호를 사용했다면, 하나의 서비스의 정보가 유출될시 연쇄적으로 피해를 받을 수 있다.

💡 이러한 필요로 인해서 만들어진 개념이 OAuth

⚡️ 그럼 보안상 위험하지는 않을까?

나의 계정정보를 가지고 있는 구글이 아무 어플리케이션에게 내 정보를 공유해서 접근 권한을 부여한다면 난 매우 화가날것 같은데 ?

걱정할 필요가 없다 왜냐하면 바로 access_token 을 아이디와 비밀번호 대신 사용한다. (물론 access_token을 발급하는것은 구글)

⚡️ 어떻게 발급하는가 ?

1. Resource Owner 가 자원을 요청한다.
2. Client 는 인증을 사용자에게 요청한다 (보통 로그인페이지를이용한다)
3. 사용자가 credentials 을 입력한다.
4. client 는 oauth 키와 함께 유저의 credentials 를 Authorization server에 전달한다.
5. Authorization Server는 Access Token 을 client에게 발급해준다.
6. Client 는 발급 받은 Access Token 을 가지고 Resource Server 에게 필요한 정보를 요청한다.
7. Resource Server 는 client에게 필요한 자원을 건내주고
8. Resource Owner 는 이제 application을 사용할 수 있다.