WEB2 - OAuth 2.0 : 6. 액세스 토큰 발급
클라이언트가 리소스 오너를 통해서 authorization code를 받았다,
그럼 이제 다음 단계로 클라이언트는 authorization code와 함께 클라이언트 시크릿을 리소스 서버로 전송!
정보에서 아주 중요한 것은 클라이언트 시크릿!! 절대로 외부 노출 금지!
OAuth의 목적은 무엇이다?
바로 엑세스 토큰을 받급하는 것이다.
리소스 서버는 authorization code 값을 통해서 이미 인증을 했기 때문에 코드 값을 삭제해야 한다. 그래야 다시 인증을 안하죠..
리소스 서버는 최종적으로 액세스 토큰을 발급하게 된다.
여기서 예시로 4라는 값의 토큰을 클라이언트에게 응답해준다.
그럼 클라이언트는 엑세스 토큰을 내부적으로 저장을 하게된다. 데이터베이스나 파일같은 곳에!
그리고 액세스 토큰은 무엇을 보장하냐!
클라이언트가 리소스 서버에 요청 시 사용할 수 있는 인증 정보를 제공한다.
리소스 서버는 액세스 토큰을 통해 사용자 ID와 해당 사용자의 유효한 기능을 확인하고 필요한 권한을 부여한다.
액세스 토큰이 유효할 경우 리소스 서버는 사용자가 요청한 B와 C에 대한 정보를 제공한다.
쉽지가 않네...
