[OAuth] OAuth란? 흐름, 용어 정리

OAuth가 뭘까?

OAuth는 제 3의 서비스에 계정 관리를 맡기는 방식임.

ex) 카카오로 로그인하기, 네이버로 로그인하기 등등..

 

OAuth 용어 정리먼저 하겠음.

 

리소스 오너(resource owner)

인증 서버에 자신의 정보사용을 허가하는 주체.

서비스 이용하는 사용자가 리소스 오너임.

 

리소스 서버(resource server)

리소스 오너 정보를 가지고, 오너의 정보를 보호하는 주체.

네이버, 카카오, 구글이 리소스 서버임.

 

인증 서버(Authorization server)

클라이언트에게 리소스 오너의 정보에 접근할 수 있게 토큰 발급하는 역할을 하는 애플리케이션

(실제 운영에서는 카카오같은 기관이 리소스 서버, 인증서버 역할 동시에 수행하는 경우가 많음)

 

클라이언트 애플리케이션(Client Application)

인증 서버한테 인증 받고, 리소스 오너의 리소스를 쓰는 주체

우리가 만드는 프로그램.

 

 

 

---

 

OAuth 쓰면 인증 서버(카카오)에서 발급받은 Token사용해서

리소스 서버에서 오너의 정보 요청하고 응답받아서 사용할 수 있음.

 

근데 어떻게 클라이언트가 리소스 오너의 정보를 취득 할 수 있을까?

방법은 4가지임

 

✅권한 부여 코드 승인 타입

OAuth2.0에서 가장 많이 쓰이는 방법

클라이언트가 리소스 접근할때 쓰이고,

권한에 접근할 수 있는 코드 & 리소스 오너에 대한 엑세스 토큰

발급 받는 방식

 

✅암시적 승인 타입

서버가 없는 자바 스크립트 웹 app에서 주로 쓰는 방법

 

✅리소스 소유자 암호 자격증명 승인 타입

✅클라이언트 자격증명 승인 타입

 

 

 

 

**권한 부여 코드 승인 타입만 알면 될듯

그것만 포스팅 하겠음!

---

 

권한 부여 코드 승인 타입 (Authorization code grant type)

 

애플리케이션

리소스 서버 (자원을 갖고 있는 애)

인증 서버 (토큰 발급해주는 역할)

리소스 오너 (로그인하려는 사용자)

 

이 네가지가 어떤 순서로 일하는지 알아야됨.

 

 

 

권한 요청이란?

 

클라이언트(스프링부트 서버)가 카카오같은 권한 서버에

특정 사용자 데이터에 접근하기 위해 권한을 요청하는것임.

 

요청 URI는 서버마다 다르지만 보통은

클라이언트ID, 리다이렉트 URI, 응답 타입

을 파라미터로 보냄

 

사용자가 "카카오 로그인" 버튼을 누르면, 브라우저가 인증 서버로

아래와 같이 GET 요청 보내는거임.

GET spring-authorization-server.example/authorize=?
    client_id=66a36b4c2&
    redirect_uri=http://locationhost:8080/oauth/kakao/callback
    response_type=code&   // 인가 코드 요청
    scope=profile

 

client_id : 인증서버가 클라이언트한테 할당한 고유 식별자

redirec_uri : 로그인 성공시에 이동할 URI (인가 코드 받을때 쓰임)

 

response_type : 클라이언트가 제공받길 원하는 응답 타입 ( code값 포함해야됨 )

scope : 받고싶은 정보 목록

 

 

**참고로 인가 코드는

사용자가 로그인, 권한 동의 끝냇을때

클라이언트(내가 만든 앱)가 인증서버로부터 받는 짧은 문자열임

GET http://localhost:8080/oauth/kakao/callback?code=abc123xyz

 

인증 서버는 바로 access_token을 주는게 아니라 인가 코드 먼저 줌.

---

 

데이터 접근용 권한 부여

 

인증 서버에 요청을 처음 보낼 때,

사용자한테 로그인 페이지 보여주고 데이터 접근 동의를 얻음 (최초 1회만)

이후에는 인증 서버에서 동의 내용 저장하고 있기 때문에 걍 로그인만 바로 함.

 

로그인 완료되면 권한 부여 서버는 데이터에 접근 할 수 있게

인증 및 권한 부여를 수신함.

 

 

 

 

 

인증 코드 제공

 

사용자가 로그인에 성공하면, 

첨에 요청 보낼때 보냈떤 redirect_uri로 리다이렉션되고,

이때 파라미터로 인증 코드를 줌.

 

 

GET http://localhost:8080/myapp?code=a1s2f3g4

 

 

 

 

 

 

엑세스 토큰 응답이란?

 

위와 같이 인증 코드 받으면, 엑세스 토큰으로 교환해야됨.

엑세스 토큰 = 로그인세션에 대한 자격을 증명하는 식별 코드.

보통 /token POST 요청 보냄

 

ex)

POST spring-authorization-server.example.com/token
{
	"client_id" : "66aasdf",
    "client_secret" : "aaabbbcc111",
    "redirect_uri" : "http://localhost:8080/myapp",
    "grant_type" : "authorization_code",
    "code" : "a1s2f3g4"
}

 

 

client_secret : OAuth 서비스에 등록할 때 제공받는 비밀키

grant_type : 권한 유형 ㅇ확인할 때 사용.

권한 서버는, 요청 값 기반으로 유효성 확인하고

유효하다면 엑세스 토큰으로 응답함.

ex)

{
	"access_token" : "aassdf",
    "token_type" : "Bearer",
    "expires_in" : 3600,
    "scope" : "openid profile",
    ...
}

 

 

이 때 제공받은 엑세스 토큰으로 리소스 오너 정보 가져올 수 있음.

정보가 필요할때마다 API호출해서 정보 가져오고

리소스 서버는 토큰 유효한지 확인하고, 응답.

 

요청 ex)

GET Spring-authorization-resource-server.example.com/userinfo
Header:Authorization: Bearer aassdf

 

 

(참고로 내 서비스의 로그인 상태는 따로 관리함

내 서버에서는 사용자 정보 보고 JWT 발급하거나 세션 저장해서

우리 서비스 로그인 상태 유지해야됨)

 

---

 

정리하자면

 

1. 앱 -> 인증서버 : 인가 코드 달라고 GET 요청 보냄

2. 인증서버 -> 사용자 : 동의화면, 로그인 화면 보여주고 동의 얻고 나면

3. 인증서버 -> 앱 : 리다이렉트 url로 인가 코드 줌

 

4. 앱 -> 인증서버 : 방금 받은 인가 코드로, 이번에는 엑세스 토큰 달라고 POST 요청 보냄

5. 인증서버 -> 앱 : JSON 형태로 엑세스 토큰 줌

 

6. 앱 -> 리소스 서버 : 5번에서 받는 엑세스 토큰으로

GET /user/me + Authorization Bearer (엑세스 토큰)

이렇게 GET 요청 보냄

7. 리소스 서버 -> 앱 : 사용자 정보 줌

(이 때 Authentication객체에 주는게 아니라, kakaoId, email, nickname등을 받고

그걸 내 서비스의 유저를 식별하고, 회원가입 시킴

해당 유저로 Authentication객체 만들어서 SecurityContextHolder에 저장!)

 

 

Q. 왜 인가 코드 달라고 할땐 GET 요청이고 ,  엑세스 토큰 달라고 할땐 POST 요청임?

 

A.

GET 인가 코드 요청은, 사용자를 로그인, 동의 화면으로 리디렉션 시키려는게 목적임

url로 요청을 보내야 브라우저 이동이 되니까.

 

POST 엑세스 토큰 요청은, 민감한 정보(clietn_secret등)를 안전하게 주고받기 위해 POST 요청 쓰는거임

url에 요청되면 안되니까