OAuth 2.0

네이버, 페이스북, 구글의 서비스(로그인 등등)를 내 애플리케이션에서 제공하고 싶을때
회원정보를 안전하게 사용하기 위한 방법

Access Token

Access Token을 통해 토큰값과 관련된 고객 정보를 해당 서비스에 요청할 수 있음

해당 서비스는 이 토큰을 검증하고, 발급된게 맞다면 해당 고객의 정보를 넘겨준다

토큰을 받는 과정

redirect

• 고객이 서비스(예를 들어 네이버)에 로그인을 하고 네이버에서 다시 내 서비스로 리다이렉트 시켜줌

• 이때 URL에 토큰값을 묶어서 받음(redirect_uri 값을 통해)

• XSS공격이나 피싱 사이트를 이용해서 redirect_uri를 자기가 원하는 사이트로 바꾸는걸 방지하기 위해 우선적으로 해당 서비스에 등록절차를 밟아야함

정보 받기

• Access Token을 내 서비스에서 받았다면

• 이 토큰을 네이버에 건네 주면 네이버는 토큰을 확인하고 정보를 건네줌

---

요약

OAuth는 크게 3단계로 나뉜다

1. 서비스 등록
   • 네이버에 자사 서비스 등록
   • 이때 redirect_uri 등 합의
2. 토큰을 받음
   • 사용자를 네이버 로그인 페이지로 이동시킴
   • 네이버가 사용자를 내 서비스로 리다이렉트 시킴
3. 토큰을 이용해 정보를 요청

이후로는 상세 구현
-> 어떻게 안전하고 편리하게 위의 과정을 진행할 것인지에 대한 구현