권한 부여 코드 승인 방식

개요

1. 흐름 및 특징
   1) 사용자가 애플리케이션을 승인하면 인가서버는 Redirect URI로 임시 코드를 담아서 애플리케이션으로 다시 리다이이렉션한다.

   2)애플리케이션은 해당 임시 코드를 인가서버로 전달하고 액세스 토큰으로 교환한다.

   3) 애플리케이션이 액세스 토큰을 요청할 때 해당 요청을 클라이언트 암호로 인증할 수 있으므로 공격자가 인증 코드를 가로채서 스스로 사용할 위험이 줄어듬

   4) 액세스 토큰이 사용자 또는 브라우저에 표시되지 않고 애플리케이션에 다시 전달하는 가장 안전한 방법이므로 토큰이 다른 사람에게 누출될 위험이 줄어듬

   
   

2. 권한부여코드 요청 시 매개변수

   • response_type=code(필수)
   • client_id(필수)
   • redirect_uri(선택사항)
   • scope(선택사항)
   • state (선택사항)

3. 액세스토큰 교환 요청 시 매개변수

• grant_type = authorization_code(필수)
• code(필수)
• redirect_uri (필수 : 리다이렉션 URI이 초기 승인 요청에 포함된 경우 )
• client_id (필수)
• client_secret(필수)

매개 변수 용어

흐름

전체 흐름 시퀀스

• AccessToken으로 API를 호출한 후 Token을 검증할때
  일반적으로 요즘엔 Resource 서버가 자체적으로 토큰을 검증하는 방법 사용함

Reference

https://www.inflearn.com/course/%EC%A0%95%EC%88%98%EC%9B%90-%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0/