OAuth 2.0 와 Authorization Code Grant 🔑

Lzhtk·2025년 8월 3일

🔐 OAuth 2.0의 주요 컴포넌트와 Authorization Code Grant 흐름을 알아보자 ❕

현대 웹 서비스에서 소셜 로그인이나 외부 API 접근을 구현할 때 흔히 사용되는 인가 프레임워크가 바로 OAuth 2.0이다.
이번에 OAuth 2.0의 핵심 개념인 주요 컴포넌트와 가장 일반적으로 사용되는 인증 방식인 Authorization Code Grant 흐름을 알아보자.
OAuth 2.0은 인증(Authentication)보다는 인가(Authorization)에 초점을 둔 프레임워크이다.

🧱 OAuth 2.0의 주요 컴포넌트

OAuth 2.0은 다음과 같은 4가지 핵심 구성요소로 이루어져 있다.

컴포넌트	설명
Resource Owner	자원 소유자. 일반적으로 사용자(User)
Client	사용자 정보를 요청하려는 애플리케이션 (ex. 내 서비스)
Authorization Server	사용자 인증 및 토큰 발급을 담당 (ex. Google, Kakao, Naver)
Resource Server	보호된 자원( API 등 )을 보관하며, Access Token( Bearer Token )으로 접근 제어 - Authorization Server와 같을 수도 있음

EX )

내 블로그에 구글 로그인 버튼을 붙였다고 생각해보자.

Resource Owner : 블로그에 로그인하려는 사용자
Client : 내 블로그 서비스
Authorization Server : Google OAuth 서버
Resource Server : Google의 사용자 프로필 API

🌊 Authorization Code Grant Flow

Authorization Code Grant는 OAuth 2.0에서 가장 많이 사용되는 흐름이며, 서버 사이드 애플리케이션에 적합합니다.
사용 시점
- 보안이 중요한 서비스일 경우
- 클라이언트가 비공개 클라이언트 시크릿을 안전하게 보관할 수 있는 서버일 경우

단계별 설명 ⭐

1️⃣ 사용자가 로그인 요청

클라이언트( 내 애플리케이션 )는 인가 요청 URL을 구성하여 사용자 브라우저를 Authorization Server로 리디렉션한다.

2️⃣ 사용자 인증 및 동의

사용자가 Google 로그인 후, 정보 제공에 동의하면

3️⃣ 인가 코드 수신

Authorization Server는 클라이언트의 redirect_uri로 인가 코드를 전달한다.

4️⃣ 인가 코드를 사용해 Access Token 요청

클라이언트는 이 코드를 이용해 Authorization Server에 Access Token을 요청한다. ( POST 요청 )

5️⃣ Access Token 응답

Authorization Server는 Access Token을 응답으로 반환한다.

6️⃣ 보호 자원 접근

이제 클라이언트는 Access Token을 사용하여 Resource Server에 API 요청을 보낸다.

요약 ✅

사용자 -> 인증 -> Authorization Server -> 인가 코드 발급
-> Client -> Access Token 발급 -> API 접근

보안 고려사항 🔐

위험 요소	대응 방안
코드 탈취	state 파라미터로 CSRF 방지
Token 노출	HTTPS 필수, 클라이언트 시크릿 서버에 안전하게 보관
토큰 만료	Refresh Token 사용하여 재발급
인증 위조	인증 코드는 1회용, 짧은 유효시간 적용

언제 사용할까? 🤷‍♀️

웹 서버 기반 백앤드 애플리케이션을 개발 중일 경우
구글/네이버/카카오 로그인을 구현하고 싶은 경우
토큰과 사용자 정보를 안전하게 다뤄야 할 경우

마무리 🔚

OAuth 2.0의 각 컴포넌트의 역할과 Authorization Code 흐름의 순서를 알아보았다.
Authorization Code Grant는 보안성과 유연성 면에서 가장 널리 사용되는 방식이므로 이를 이해하는 것은 OAuth 기반 인증 시스템을 설계할 때 큰 힘이 될 것이다 ❕
요즘은 많은 프레임워크와 라이브러리가 OAuth 2.0 인증 과정을 쉽게 처리하여주지만, 그 내부에서 어떤 일이 일어나는지 이해하는 것은 보안 취약점을 피하고, 필요 시 유연한 커스터마이징을 가능하게 해준다🤗

Lzhtk

이전 포스트

Session Vs Token 🔐

다음 포스트

OAuth 2.0 와 Authorization Code Grant 🔑

🔐 OAuth 2.0의 주요 컴포넌트와 Authorization Code Grant 흐름을 알아보자 ❕

🧱 OAuth 2.0의 주요 컴포넌트

🌊 Authorization Code Grant Flow

단계별 설명 ⭐

보안 고려사항 🔐

언제 사용할까? 🤷‍♀️

마무리 🔚

Session Vs Token 🔐

보안 공격 💥

0개의 댓글