TIL 58: [인증/보안] 기초 - OAuth 2.0

코딩에 대해 관심이 생겨 올해 초에 잠깐 생활코딩으로 HTML과 CSS를 공부했던 경험이 있습니다. 그 때 OAuth가 뭔지에 대해 자세한 설명없이 라이브러리 형태로 사용해봤는데 이번 기회를 통해 OAuth가 무엇인지에 대해 공부할 수 있었습니다. 

 

OAuth란?

직접 작성한 서버에서 인증을 처리해주는 방식과 달리, OAuth는 인증을 중개해주는 매커니즘입니다. 보안된 리소스에 접근하기 위해 클라이언트에게 권한을 제공하는 프로세스를 단순화하는 프로토콜을 말합니다. 이미 사용자 정보를 가지고 있는 웹서비스(GitHub, google, facebook 등)에서 사용자의 인증을 대신해주고, 접근 권한에 대한 토큰을 발급한 후, 이를 이용해 내 서버에서 인증이 가능해집니다. 

OAuth는 인증(Authentication)을 다른 서비스에 맡길 뿐, 접근 권한 관리(Authorization)은 해당 서비스 회사의 몫이므로, 사용자 정보가 해당 서비스 회사 서버에 저장되는 것은 변함이 없습니다.

 

OAuth 기초 용어

• Resource Owner: 액세스 중인 리소스의 유저입니다. 만약 A의 구글 계정을 이용해서 App에 로그인할 경우, Resource owner는 A입니다.
• Client: Resource owner를 대신하여 보호된 리소스에 액세스하는 응용프로그램입니다. 앞에서 말한 예시에서는 App이 클라이언트가 될 수 있습니다. 
• Resource Server: Client의 요청을 수락하고 응답할 수 있는 서버입니다.
• Authorization Server: Client 및 Resource Owner를 성공적으로 인증한 후, Resource Server에게 Access Token을 발급하는 서버입니다.
• Authorization Grant: Client가 Access Token을 얻을 때 사용하는 자격 증명의 유형입니다.
• Authorization Code: Access Token을 발급받기 전에 필요한 코드입니다. Client ID로 코드를 받고, Client Secret과 코드를 이용해 Access Token을 받아옵니다.
• Access Token: 보호된 리소스에 접근하는 데 사용되는 Credentials 입니다. Authorization Code와 Client Secret을 이용해 받아오는 Access Token으로 Resource Server에 접근할 수 있습니다.
• Scope: 토큰의 권한을 정의합니다. 주어진 Access Token을 사용하여 액세스할 수 있는 리소스의 범위입니다.

 

OAuth 2.0 인증 방식