OAuth 2.0은 원래 인가를 위한 프로토콜이지만, 서비스들은 OAuth 2.0을 이용하여 “Google로 로그인”, “GitHub로 로그인” 과 같은 기능을 구현하기 시작했다.
하지만 OAuth 2.0 자체는 사용자 인증을 위한 표준 규격이 아니었기 때문에, 사용자의 신원을 일관되게 표현하는 데 한계가 있었다.
→ 그래서 나온 것이 OIDC이다.
→ OIDC는 OAuth 2.0 위에 다음내용들을 추가한다.
https://api.example.com/login
https://api.example.com/users
https://api.example.com/products
https://api.example.com/orders
URL마다 역할이 다른 것처럼 OIDC도 대표적으로 3개의 기능을 엔드포인트로 구분했다.
OIDC에서는 인증 및 권한 처리를 위해 여러 종류의 토큰을 사용한다.
OIDC는 사용자의 인증을 client 애플리케이션이 직접 수행하지 않고, OIDC Provider에게 위임하는 구조로 동작한다.
대표적인 흐름은 Authorization code Flow이다.

1. 사용자가 client 애플리케이션에 접속
2. client가 Authorization Endpoint로 사용자를 이동시킴
3. OIDC Provider가 사용자를 인증
4. 인증 성공 후 Authorization code를 전달
5. client가 Token endpoint에 Authorization code를 전달
6. OIDC Provider가 그 Authorization code를 검증하고 여러개의 토큰을 발급 (ID Token, Access Token, Refresh Token)
7. Client는 ID Token을 검증하고 사용자의 로그인 세션을 생성
8. 이후 서비스는 Access Token에 포함된 권한 정보(Role, Scope 등)를 기반으로 사용자가 수행할 수 있는 작업을 결정
ID Token은 JWT 형식으로 제공된다.
JWT는 사용자에 대한 정보와 인증정보를 안전하게 전달하기 위한 토큰 형식이다. JWT는 다음과 같이 3개의 영역으로 구성된다.
JWT = Header.Payload.Signature

1. 토큰 서명 -> 해당 토큰이 실제 OIDC provider가 발급한 토큰인지 확인
2. 발급자 -> 토큰 발급자가 신뢰하는 OIDC Provider인지 확인
3. 대상 -> 해당 토큰이 실제로 client대상으로 발급된 토큰인지 확인
4. 만료시간 -> 토큰이 만료되지 않았는지 확인
OIDC Provider는 ID Token을 발급할 때 자신의 개인키(Private Key)로 토큰에 서명한다.
또한 JWT Header에는 “서명 알고리즘”과 “공개키 식별정보”가 저장되어 있다.
{
"alg": "RS256", -> 해당 알고리즘으로 서명됨
"kid": "key-2026" -> 제공되는 공개키 목록 중 "key-2026"에 해당하는 공개키를 사용하라
}
OIDC Provider는 공개키를 외부에 공개하며, Client는 OIDC Provider가 제공하는 공개키 조회 엔드포인트에서 공개키 목록을 조회할 수 있다.
Client는 이 키들 중 kid에 해당하는 공개키를 이용하여 토큰을 검증한다.
{
"keys": [
{"kid": "key-2024"},
{"kid": "key-2025"},
{"kid": "key-2026"}
]
}
→ 검증이 성공하면 해당 토큰이 실제 OIDC Provider가 발급한 토큰이며, 중간에 위변조되지 않았음을 확인할 수 있다.
그 다음 Client는 Payload 영역에 포함된 정보를 자신의 설정값과 비교한다.
Client는 OIDC 연동 시 자신이 신뢰하는 OIDC Provider의 issuer 정보와 자신의 client_id를 설정 파일에 미리 등록해둔다.
예를 들어 , Client 설정이 다음과 같다고 가정하자.
issuer = https://keycloak.aolda.kr/realms/aolda
client_id = acc
그리고 ID Token 안에 다음 정보가 포함되어 있다고 하자.
iss = https://keycloak.aolda.kr/realms/aolda
aud = acc
exp = 1710000000
Client는 다음과 같은 검증을 수행한다.
모든 검증이 성공하면 Client는 해당 ID Token을 신뢰할 수 있는 인증 결과로 판단한다.
즉, 검증 과정에서는