인증/보안 (OAuth) ✍🏻
OAuth
OAuth2.0은 인증을 위한 표준 프로토콜의 한 종류
보안 된 리소스에 액세스하기 위해 클라이언트에게 권한을 제공(Authorization)하는 프로세스를 단순화하는 프로토콜 중 한 방법
OAuth 는 언제, 왜 쓸까
회원가입 절차가 필요한 경우가 많은데 각 서비스별로 ID와 Passworde를 다 기억하는 것은 매우 귀찮다.
OAuth를 활용한다면 자주 사용하고 중요한 서비스들(ex. google, github)의 ID와 Password만 기억해 놓고 해당 서비스들을 통해 소셜 로그인을 할 수 있다.
뿐만 아니라 OAuth는 보안상의 이점도 있는데, 검증되지 않은 App에서 OAuth를 사용하여 로그인한다면, 직접 유저의 민감한 정보가 App에 노출될 일이 없고 인증 권한에 대한 허가를 미리 유저에게 구해야 하기 때문에 더 안전하게 사용이 가능하다.
OAuth에서 꼭 알아야 할 용어
-
Resource Owner : 액세스 중인 리소스의 유저입니다. 김코딩의 구글 계정을 이용하여 App에 로그인할 경우, 이때 Resource owner은 김코딩이 됩니다.
-
Client : Resource owner를 대신하여 보호된 리소스에 액세스하는 응용프로그램입니다.
클라이언트는 서버, 데스크탑, 모바일 또는 기타 장치에서 호스팅 할 수 있습니다. -
Resource server : client의 요청을 수락하고 응답할 수 있는 서버입니다.
-
Authorization server : Resource server가 액세스 토큰을 발급받는 서버입니다.
즉 클라이언트 및 리소스 소유자를 성공적으로 인증한 후 액세스 토큰을 발급하는 서버를 말합니다. -
Authorization grant : 클라이언트가 액세스 토큰을 얻을 때 사용하는 자격 증명의 유형입니다.
-
Authorization code : access token을 발급받기 전에 필요한 code입니다.
client ID로 이 code를 받아온 후, client secret과 code를 이용해 Access token 을 받아옵니다. -
Access token : 보호된 리소스에 액세스하는 데 사용되는 credentials입니다.
Authorization code와 client secret을 이용해 받아온 이 Access token으로 이제 resource server에 접근을 할 수 있습니다. -
Scope : scope는 토큰의 권한을 정의합니다. 주어진 액세스 토큰을 사용하여 액세스할 수 있는 리소스의 범위입니다.
소셜 로그인 로직 플로우
인증과 권한 관리 차이
인증 : 사용자가 유효한지 판단(credential, 자격증명)
- 버스에 탈 수 있게 해주는 장치(버스카드)
권한부여 : 어떤 권한을 획득할 수 있는지 결정
- 장애인석, 경로석, 임산부석에 앉을 권한을 획득
