생활코딩 강의를 듣고 정리함
OAuth
OAuth의 핵심? 3주체
- 나의 서비스 = resource client
- 서비스를 사용하는 사용자 = resource owner
- 나의 서비스가 연동하려고 하는 다른 서비스(ex.구글, 페이스북, 트위터)
=resource server( + 인증 담당 Authorization server)
client Id
client secret =>외부 노출 X
Authorized redirect URIs https://client/callback
(reseource server가 권한에 대한 code를 이 주소로 보내줌)
사용자가 우리 서비스에 접속해서 글을 썼다든가, 했을때 연동된 다른 서비스에 글을 올린다든가.. 하기 위해 그 서비스에 접근 허가 받아야 함
그 서비스의 사용자 아이디와 비밀번호를 받아서 기억하고 있다가
그 서비스에 접속할 때 아이디와 비밀번호를 이용한다.
사용자 입장? 자신의 구글 계정을 처음보는 서비스에 맡겨야한다?
정보유출, 보안사고에 대한 우려가 있다!
사용자의 id, 비밀번호도 우리가 갖고 있기 때문에 우리 서비스도 부담
구글 입장에서도 우리 정보를 다른 회사에서 가지고 있어? 싫은데?
이래서 등장한 게 OAuth
비밀번호 대신 일종의 access_token을 발급한다.
1.그들의 서비스의 비밀번호와 다름
2.필수적인 기능만 부분적으로 허용
Oauth -> Access Token -> 그 서비스에 접근해서 데이터 CRUD 가능
