OAuth 2.0 개념과 동작 과정 정리

sun_young 2025. 1. 31. 15:35

🔎 OAuth란?
한 서비스에서 다른 서비스로 권한 부여를 전달하기 위한 프로토콜이다.

예를 들어, 어느 웹 사이트에서 구글 로그인이나 카카오 로그인과 같이 외부 인증 서비스를 이용하는 경우를 종종 볼 수 있는데, 구글이나 카카오와 같이 외부 인증 서비스를 이용하는 것은 OAuth 프로토콜을 기반으로 한 인증 방식이다.

OAuth는 애플리케이션이 특정 시스템의 보호된 리소스에 접근하기 위해 사용자 인증을 통해 사용자의 리소스 접근 권한을 위임받는 것을 의미한다.

Authentication (인증)	해당 사용자가 자신이 주장하는 사람인지 확인하는 것으로, 식별과 연관된 개념
Authorization (인가)	해당 사용자에게 리소스에 접근할 수 있는 권한을 부여하는 것으로, 접근과 연관된 개념

OAuth 2.0의 핵심 주체

Resource Owner
리소스를 소유한 사용자
Client
리소스 서버의 자원을 이용하고자 하는 서비스, 보통 우리가 개발하려는 서비스를 의미한다.
Server(Authorization & Resource)
Resource Owner를 인증하고 클라이언트에게 액세스 토큰을 발급해주는 서버로, Resource Server는 구글, 페이스북, 트위터와 같이 리소스를 가지고 있는 서버를 의미한다.

OAuth 2.0의 동작 과정

1~4. Resource Owner가 '구글로 로그인'과 같은 버튼을 클릭해서 로그인 요청 후 로그인 페이지를 제공받고 ID와 PW를 입력해서 로그인하는 과정이다.

5~6. 인증이 성공하면 Authorization Server는 Authorization Code를 발급하며 제공한 Redirect URI로 사용자를 리다이렉트 시킨다. (6번 과정에서 Authorization Code를 포함하여 사용자를 리다이렉트 시킨다.)

💡Authorization Code
클라이언트가 Access Token을 획득하기 위해 사용하는 임시 코드이다. (일반적으로 1~10분 정도의 수명 시간을 가진다.)

위 사진에서 서비스 URL은 네이버 API를 사용하고자 하는 애플리케이션(우리 서비스)의 URL이며 Callback URL이 로그인 성공 시 Authorization Code를 전달하는 URL이다. 즉, 네이버 로그인이 성공하게 되면 우리가 설정한 Callback URL로 Authorization Code가 전달되게 된다.

7~9. 클라이언트는 Authorization Code를 Authorization Server에 전달하여 Access Token을 응답받은 후 발급 받은 토큰을 저장한다. (이때 Access Token은 제 3자에게 유출되면 안되기 때문에 HTTPS 연결을 통해서만 사용 가능하다.)

5번부터 9번까지의 과정을 통해 (Authorization Code를 발급 받고 이를 통해 Access Token을 발급 받는 과정) Access Token을 안전하게 보호할 수 있다. Authorization Code를 프론트엔드로 전달하고 프론트엔드는 이를 백엔드로 전달한다. 코드를 전달 받은 백엔드는 Authorization Code를 Authorization Server에 전달하며 Access Token을 발급받는다. 이렇게 Access Token은 우리 서비스와 OAuth 서비스의 백채널에서만 전송되고 있기 때문에 공격자가 Access Token을 가로채기 어렵다.

11~14. Resource Owner가 Resource Server의 필요한 리소스를 클라이언트에 요청한다. 클라이언트는 저장해둔 Access Token을 사용하여 리소스에 접근하고 Resource Owner에게 서비스를 제공한다.

OAuth 2.0의 스코프

스코프라는 개념을 통해 유저 리소스에 대한 클라이언트의 접근 범위를 제한할 수 있다.

예를 들어 위 사진의 사용 API 부분이 스코프에 해당하는데 네이버에서 사전에 외부에 사용 가능하도록 제공하는 정보 중 우리 서비스에서 사용하고자 하는 정보를 선택할 수 있다. (이때 네이버는 Resource Server에 해당한다.)

→ 이는 애플리케이션 구현 시 scope : name, email 이런 형식으로 들어가게 된다.

[참고]
https://hudi.blog/oauth-2.0/

OAuth 2.0 개념과 동작원리

2022년 07월 13일에 작성한 글을 보충하여 새로 포스팅한 글이다. OAuth 등장 배경 우리의 서비스가 사용자를 대신하여 구글의 캘린더에 일정을 추가하거나, 페이스북, 트위터에 글을 남기는 기능을

hudi.blog

https://iam.furo.one/post/concept-oauth

Furo

들어가기 애플리케이션 보안과 인증의 영역을 제대로 이해하기 위해서는, OAuth, JWT, SSO 등의 핵심적인 인증 표준에 익숙해져야 합니다. 개발자가 애플리케이션의 인증 스택을 이용하거나 직접

iam.furo.one

https://www.cloudflare.com/ko-kr/learning/access-management/what-is-oauth/

https://ksh-coding.tistory.com/62

Spring Security + JWT를 이용한 자체 Login & OAuth2 Login(구글, 네이버, 카카오) API 구현 (5) - OAuth란? / OAuth

본격적으로, OAuth2 로그인을 구현하기 전에, OAuth가 무엇인지 알아보고자 합니다. 1. OAuth(Open Authorization)란? OAuth의 사전적 정의는 다음과 같습니다. OAuth는 인터넷 사용자들이 비밀번호를 제공하지

ksh-coding.tistory.com

저작자표시

'CS' 카테고리의 다른 글

[디자인 패턴] 01. 어댑터 패턴 (adapter pattern) (2)	2025.01.29
Web Server와 WAS의 차이 (2)	2024.11.24
프록시 서버(Proxy server) (0)	2024.11.18
중앙처리장치(CPU) 작동 원리 (1)	2024.11.17
교착상태 (0)	2024.11.16

현재글OAuth 2.0 개념과 동작 과정 정리

log

IntelliJ, maven, Spring, springboot, CS, SSAFYcial, 알고리즘, react-redux, SQL, 오블완, SSAFY, 스프링, MySQL, 백준, react, 스프링부트, 싸피셜, boj, 티스토리챌린지, 싸피,

Today :
Yesterday :

log