WEB2 - OAuth 2.0 : 5. Resource Server의 승인
이제 리소스 서버가 승인을 해줘야 하는데, 승인을 하기 위해서 바로 엑세스 토큰을 발급하지 않고 추가적인 절차가 하나 더 있다.
이 과정이 어려운 이유는 양자 간의 작업이 아닌 3자 간의 승인 절차가 포함되어 있기 때문..
승인 절차
리소스 서버가 승인 절차에서 사용하는 임시 비밀번호가 바로 authorization code다.
이 authorization code는 리소스 서버가 리소스 오너에게 전송하는 형태로 사용된다.
-
HTTP 응답에서는
Location헤더를 통해 웹 브라우저에게 리다이렉션 명령이 전달되고 예를 들어 "HTTPS://클라이언트/콜백?코드=3"으로 이동하라는 지시가 포함된다. -
리소스 서버는 리소스 오너의 웹 브라우저에게 리다이렉션을 지시하고 이 과정에서 authorization code인 3이 URL의 쿼리 파라미터로 포함된다.
-
클라이언트는
Location헤더의 URL로 이동함으로써 코드를 추출한다. 다음 단계에서 액세스 토큰을 요청하기 위해 필요 -
클라이언트는 리소스 서버를 직접 접속하기 위해 authorization_code와 리다이렉트 URL, 클라이언트 ID 및 클라이언트 시크릿을 전송해야 한다.
-
최종적으로 OAuth에서는 코드와 비밀 정보를 결합해서 리소스 서버에 전달하는 방식으로 인증 절차를 진행!!
리소스 서버 확인 절차
-
리소스 서버는 OAuth 코드 3번이 자신이 가진 정보와 일치하는지 확인해야 한다.
-
OAuth 세션 코드 3번은 클라이언트 ID 1번에게 발급되었다. 클라이언트 ID 1번의 시크릿 값은 2번.
-
리소스 서버는 클라이언트가 전송한 코드 값과 클라이언트 ID 1번, 시크릿 2번, 리다이렉트 URI의 값이 일치하는지를 확인.
-
모든 정보가 일치하면 리소스 서버는 다음 단계로 진행
그 다음 단계가 바로 엑세스 토큰을 발급하는 것...
