- 인증을 거쳐 인가를 통해 request를 수행
- http는 stateless의 특징을 가지고 있어 각각의 요청을 따로 진행하기 때문에, access token을 발행하여 이 점을 보완
| 인증 | 인가 |
|---|---|
| 유저의 identification을 확인하는 절차 | 유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인가를 확인하는 절차(access_control) |
| 인증하면서 access_token을 전달 | access token을 통해 해당 유저 정보를 받을 수 있어, 해당 유저의 권한도 체크가 가능함. |
인증・인가 절차
- 클라이언트에서 아이디와 패스워드 보냄
- 서버에서 패스워드를 체크하고, 맞다면 access token을 만들어 클라이언트에 보내줌.
- 클라이언트에서는 받은 access token을 캐시같은 곳에 저장해놓음
- 클라이언트에서 서버에 로그인이 필요한 요청이 있을 때, 저장해놓은 access token을 request.headers에 담아서 보냄.
- 서버는 받은 access token을 복구화시킨 후 해당 유저를 체크하여 요청한 데이터를 보내줌.
→ 1-3번이 인증 절차에 속하고, 4-5번이 인가 절차에 속한다.
한 줄 소개가 자연스러워지는 그날까지