OAuth2 인증 과정

1. Component

• OAuth Flow에 관여되는 주체는 아래와 같습니다.
  • User: Application 사용자
  • Service Provider: User 정보를 제공하는 쪽(ex. google, facebook, kakao, naver)
  • Consumer: 내 Application

2. Auth Flow

1. Consumer에서 User를 Service Provider의 인증 URL 화면으로 리다이렉션합니다.

   • Service Provider는 이 화면에서 User에게 'Consumer가 데이터를 읽고 업데이트할 수 있는 액세스 권한을 부여할 것인지' 물어봅니다.

2. User는 Consumer에게 액세스 권한을 부여하는 데 동의합니다.

3. Service Provider가 User를 (Consumer가 정한)callback URL로 리다이렉션합니다.

   • 그리고 인증 코드를 URL parameter로 전달합니다.

4. Consumer는 인증 코드를 사용해서 Service Provider에게 User 정보에 대한 접근 권한을 요청합니다.

5. Service Provider가 접근 권한을 발행합니다. 접근 권한에는 Access Token과 Refresh Token이 포함됩니다.

   • 이 토큰을 Consumer가 받게되면 OAuth Dance flow가 완료됩니다.

6. 이제 Consumer는 Access Token을 사용하여 User를 대신해서 Service Provider의 서비스 API를 호출할 수 있습니다.

• 출처
  • Spring Social Reference
  • How is OAuth 2 different from OAuth 1?