OAuth 2.0 권한부여 유형 - Authorization Code Grant Type

Crow·2023년 2월 9일
0

InflearnOAuth2

목록 보기
9/12
post-custom-banner

권한 부여 코드 승인 방식

개요

  1. 흐름 및 특징
    1) 사용자가 애플리케이션을 승인하면 인가서버는 Redirect URI로 임시 코드를 담아서 애플리케이션으로 다시 리다이이렉션한다.

    2)애플리케이션은 해당 임시 코드를 인가서버로 전달하고 액세스 토큰으로 교환한다.

    3) 애플리케이션이 액세스 토큰을 요청할 때 해당 요청을 클라이언트 암호로 인증할 수 있으므로 공격자가 인증 코드를 가로채서 스스로 사용할 위험이 줄어듬

    4) 액세스 토큰이 사용자 또는 브라우저에 표시되지 않고 애플리케이션에 다시 전달하는 가장 안전한 방법이므로 토큰이 다른 사람에게 누출될 위험이 줄어듬


  2. 권한부여코드 요청 시 매개변수

    • response_type=code(필수)
    • client_id(필수)
    • redirect_uri(선택사항)
    • scope(선택사항)
    • state (선택사항)
  3. 액세스토큰 교환 요청 시 매개변수

  • grant_type = authorization_code(필수)
  • code(필수)
  • redirect_uri (필수 : 리다이렉션 URI이 초기 승인 요청에 포함된 경우 )
  • client_id (필수)
  • client_secret(필수)

매개 변수 용어


흐름

전체 흐름 시퀀스

  • AccessToken으로 API호출한 후 Token을 검증할때
    일반적으로 요즘엔 Resource 서버자체적으로 토큰을 검증하는 방법 사용함

Reference

https://www.inflearn.com/course/%EC%A0%95%EC%88%98%EC%9B%90-%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0/

profile
어제보다 개발 더 잘하기 / 많이 듣고 핵심만 정리해서 말하기 / 도망가지 말기 / 깃허브 위키 내용 가져오기
post-custom-banner

0개의 댓글