[Web] OAuth 2

OAuth2란?

특정 애플리케이션(Client)에서 사용자의 인증을 직접 처리하지 않고, 사용자의 정보를 보유하고 있는 신뢰할만한 써드파티 애플리케이션(Github, Kakao, Google, Facebook 등)에서 사용자의 인증을 대신 처리하고 리소스에 대한 자격증명용 토큰을 발급하여, 클라이언트가 해당 토큰을 이용하여 써드파티 애플리케이션의 서비스를 사용하게 해주는 방식이다.

또는 추가적인 인증서비스를 이용하기 위한 용도로 사용한다.  일반적인 아이디/패스워드 로그인에 추가적으로 OAuth2를 이용하여 인증을 진행하는 것이다. 특정 서비스를 제공하는 애플리케이션에 사용자의 크리덴셜을 남기고 싶지 않을경우 OAuth2 로그인 인증방법으로 로그인을 구현하면된다. 

 

1. Resource Owner가 클라이언트에게 OAuth2 인증을 요청한다. 여기서의 로그인은 Resource Owner가 써드파티 애플리케이션[여기선 구글]에 로그인 하기를 원하는 것이다.(Client에서 제공하는 로그인이 아님)

2. Client는 Resource Owner가 써드파티애플리케이션[여기선 구글] 에 로그인할수있도록 써드파티 애플리케이션 로그인 페이지로 redirect 해준다.

3. Resource Owner는 로그인 인증을 진행하고, 인증에 성공을 하게 되면 4번으로 넘어간다.

4. Authorization Server가 Resource Owner의 로그인이 성공적으로 수행되었음을 증명하는 Aceess Token을 Client에게 전송한다.

5. Access Token을 전달받은 Client는 Resource Owner의 대리인 역할이 가능해지고, Resource Server에게 Resource Owner 소유의 Resource를 요청한다.

6. Resource Server 는 Client가 전송한 Access Token을 검증해서 Client가 Resource Owner의 대리인으로써의 자격이 증면되면 Resource를 Client에게 전송한다.

 

Authorization Grant

Client 애플리케이션이 Access Token을 얻기 위한 Resource Owner의 권한을 표현하는 크리덴셜을 의미한다. 즉, Client가 Access Token을 얻기 위한 수단이라고 생각하며 되고, 네가지 종류의 Authorization Grant가 있다.

 

추가) Scope : 주어진 Access Token을 사용하여 엑세스 할수있는 Resource의 범위를 나타낸다.

 

Authorization Code Grant : 권한 부여 승인 코드 방식

가장 많이쓰이고 기본이 되는 방식으로 Refresh Token 사용이 가능하다.

권한부여 요청시에 응답타입을 code로 지정하여 요청한다.

 

Implicit Grant : 암묵적 승인 방식

별도의 code없이 바로 Access Token을 발급하는 방식이다.

Refresh Token의 사용이 불가능하며 응답 타입을 token으로 지정하여 요청한다.

 

Resource Owner Password Credential Grant : 자원 소유자 자격 증명 승인 방식

간단하게 로그인시 필요한 정보로 Access Token을 발급받는 방식이다. 자신의 서비스에서 제공하는 애플리케이션의 경우에 사용되는 인증방식이고 Refresh Token 사용이 가능하다. (Authorization Server, Resource Server, Client가 같은 시스템일때)

네이버계정 -> 네이버 웹툰, 네이버 뉴스 등에 로그인 하는경우