[리뷰/우아한테크] 프람의 OAuth-이론

 

 

로그인 API를 사용할 때 OAuth가 많이 나와 어떤 개념인지 알기 위해 기초 이론 영상을 정리한다.

 

 

 

 

 

⁂Authorization code Grant 타입으로 정리됨

(Spring)

 

 

인가 프레임워크 OAuth 2.0

OAuth는 정보를 제공하는 서비스 프로바이더들 측에 사용자 인증에 대해 정보를 받아오는 서버(Client)가 알지 못하도록 하고 인가 처리를 대신해주는 형식이다.

 

사용자(Resource Owner)가 로그인요청을 하게되면 Client는 여러가지 정보를 넘기게 되는데, 이때 필요한 정보를 보내게된다. 이후 인가페이지로 요청되고 스코프를 설정하고 응답해서 콜백을 한다. 이때 별도의 코드를 발급받게 되는데 이는 어떤 정보를 인가했는지를 나타내는 임시발급코드다. 이 코드를 통해 정보를 제공해주는 리소스 서버로 요청을 보내게 되고 허용된 정보를 받아오게 된다. (토큰)

 

이 때 사용되는 토큰 중 access_token과 refresh_token이 있는데 refresh_token이 만료시간이 더 길다.

access가 만료되면 refresh를 통해 재발급이 가능하다.

 

 

 

 

사용자의 정보를 알지 못하게 하기 위해 클라이언트 서버와 직접 소통하지 않고 브러우저를 거쳐서 소통하게 된다. 반면 토큰은 서버 외부로 나가면 안 되기 때문에 서버끼리 소통을 한다.