OAuth 탄생배경
사용자가 가입된 서비스의 API에 접근하기 위해 사용자로부터 권한을 위임 받아야 한다. 그러나 모든 웹 사이트에서 회원가입을 거치는 것은 사용자에게 부담이 되었고 웹 사이트를 운영하는 측에서도 회원들의 개인정보를 지켜야하는 부담이 생긴다. 이런 문제를 해결하기 위해 사용자의 패스워드 없이도 권한을 위임 받을 수 있는 방법이 필요해 고안된 기술이다.
OAuth란
OAuth는 인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준이다. 사용자가 애플리케이션에게 모든 권한을 넘기지 않고 사용자 대신 서비스를 이용할 수 있게 해주는 HTTP 기반의 보안 프로토콜이다.
용어
Resource Server : 제어하고자 하는 자원을 가지고 있는 서버(ex 카카오, 구글, 페이스북)
Resource Owner : 자원의 소유자 (ex 일반 이용자)
Client : 서비스를 Resource Server에 접속해 제공하는 (ex 서비스 제공자)
Authorization Server : 인증정보를 가지고 있는 서버
사용 절차
- OAuth를 사용하기 위해 우리가 카카오에 등록 절차를 통해 승인을 받아야 한다. 이 과정을 통해 client id, client secret, authorized redirect URLs를 획득하게 된다.
- client id란 어떤 사이트에서 OAuth 인증을 요청하는지 resource server에 알려주기 위해 사용한다.
- authorized redirect URLs는 카카오 유저 정보를 우리 웹서비스로 전송해 주는 URL로 우리는 GET으로 카카오 인증 서버에 authorized redirect URLs을 주어야 하며 카카오는 authorized redirect URLs로 계정 정보를 POST로 전송한다.
-
카카오 인증 서버에 authorized redirect URLs와 client id를 통해 인증을 받고 보안상의 이유로 바로 유저정보를 받는게 아닌 authorized code라는 매개변수를 발급한다.
-
카카오 인증 서버에 authorized redirect URLs, code, client id, client secret을 통해 Access token을 요청한다.
- Access token이란 구글이 가지고 있는 구글 이용자 정보 중 어떤 것에 접근할 수 있는지 나타내며 이것을 통해 구글 서버에서 데이터를 받아올 수 있다.
