반응형

자물쇠가 있는 문

OAuth 2.0이란 무엇인가?

OAuth 2.0은 인터넷 애플리케이션이 사용자의 자원에 안전하게 접근할 수 있도록 돕는 인증 및 권한 부여 프레임워크다. 이 프레임워크는 사용자의 민감한 인증 정보를 직접 공유하지 않고, 대신 액세스 토큰을 통해 애플리케이션이 자원에 접근할 수 있게 한다. 이 방식은 특히 클라우드 서비스나 API 통합에서 자주 사용된다.

 

주요 개념

예:

1. 사용자가 구글 드라이브 API를 사용하는 A라는 서비스에 OAuth2를 통해 가입했다.
2. 사용자는 OAuth2 인증을 거쳐 로그인한 후, 권한 요청 팝업이 표시되었고, 사용자는 구글 드라이브의 자원 접근을 허가했다. 
3. 그 결과, A 서비스는 구글 드라이브에서 사용자의 사진을 다운로드할 수 있었다.

1. Resource Owner (자원 소유자)

자원 소유자는 시스템에 저장된 데이터나 리소스의 실제 소유자를 의미한다. 대부분의 경우 자원 소유자는 애플리케이션 사용자다. 이 사용자는 자신의 자원을 제3자 애플리케이션이 접근할 수 있도록 허용한다. 

  • 위의 예시 : 사용자 (구글 드라이브에 저장된 사진을 소유하고 있는 사용자)

2. Client (클라이언트)

클라이언트는 자원 소유자를 대신해 자원에 접근하려는 애플리케이션이다. 클라이언트는 사용자의 자원에 직접 접근할 수 없으며, 권한 부여 서버를 통해 권한을 요청한다. 예를 들어, 사용자 데이터에 접근하려는 모바일 앱이나 웹 애플리케이션이 클라이언트에 해당한다.

  • 위의 예시 : A 서비스 (사용자의 구글 드라이브에 접근하여 사진을 다운로드하려는 애플리케이션)

3. Authorization Server (권한 부여 서버)

권한 부여 서버는 자원 소유자로부터 권한을 부여받은 후 클라이언트에게 액세스 토큰을 발급하는 서버다. 이 서버는 클라이언트의 신원을 확인하고, 자원에 접근할 수 있는 권한을 관리한다.

  • 위의 예시: 구글의 OAuth 2.0 권한 부여 서버 (A 서비스에 액세스 토큰을 발급하는 역할)

4. Resource Server (자원 서버)

자원 서버는 클라이언트가 요청하는 자원을 호스팅하는 서버다. 클라이언트가 액세스 토큰을 전달하면, 자원 서버는 해당 클라이언트가 적절한 권한을 갖고 있는지 확인하고 자원에 대한 접근을 허용한다. 자원 서버는 보통 API 서버 형태로 존재한다.

  • 위의 예시 : 구글 드라이브 서버 (사진 파일이 저장된 자원을 관리하는 서버)

 

권한 부여 방식 (Grant Types)

OAuth 2.0에는 여러 가지 권한 부여 방식이 존재하며, 각각 특정한 시나리오에 맞게 설계되어 있다. 이는 클라이언트가 어떻게 자원 소유자에게 권한을 요청하고, 액세스 토큰을 발급받는지를 정의한다.

 

1. Authorization Code Grant (인가 코드 방식)

  • OAuth 2.0에서 가장 널리 사용되는 인증 방식이다. 서버 기반 애플리케이션에서 주로 사용되며, 사용자가 권한 부여를 완료한 후 인가 코드를 클라이언트에게 발급하고, 클라이언트는 이를 이용해 액세스 토큰을 얻는다.
  • 사용 예: 웹 애플리케이션에서 구글, 페이스북과 같은 제3자 인증 서버를 통해 로그인하는 경우.

2. Client Credentials Grant (클라이언트 자격 증명 방식)

  • 사용자가 개입하지 않고, 클라이언트가 자신의 자격 증명을 이용해 액세스 토큰을 요청하는 방식이다. 주로 서버 간 통신에서 사용된다.
  • 사용 예: 백엔드 시스템 간 통신에서 리소스 접근을 제어할 때.

3. Refresh Token Grant (리프레시 토큰 방식)

  • 사용자의 액세스 토큰이 만료되었을 때 리프레시 토큰을 사용해 새로운 액세스 토큰을 발급받는 방식이다. 이를 통해 사용자는 다시 인증하지 않아도 기존 권한을 계속 유지할 수 있다.
  • 사용 예: 세션을 유지하면서 사용자에게 추가 인증을 요구하지 않도록 하는 경우.

4. Password Grant (패스워드 방식)

  • 사용자가 클라이언트에 직접 아이디비밀번호를 제공해 인증을 처리하는 방식이다. 보안상의 위험 때문에 권장되지 않으며, 대부분의 경우 사용이 지양된다.
  • 사용 예: 레거시 시스템이나 간단한 내부 애플리케이션에서 사용될 수 있지만, 현재는 거의 사용되지 않는다.

5. Device Authorization Grant (디바이스 코드 방식)

  • 사용자가 UI가 제한된 디바이스에서 인증할 때 사용하는 방식이다. 사용자는 다른 디바이스에서 웹 브라우저를 통해 권한 부여 절차를 완료하고, 디바이스는 디바이스 코드를 사용해 액세스 토큰을 받는다.
  • 사용 예: 스마트 TV나 게임 콘솔 같은 제한된 디바이스에서 사용자가 인증할 때. 맥북으로 스마트 TV를 미러링 할때 입력하는 4자리 값

6. Implicit Grant (암시적 방식)

  • 클라이언트가 액세스 토큰을 바로 받는 방식으로, 주로 클라이언트 애플리케이션이 브라우저에서 실행되는 경우 사용됩니다. 보안 문제로 OAuth 2.1에서는 사용이 권장되지 않으며, 대부분의 경우 Authorization Code Grant로 대체된다.
  • 사용 예: 과거에 주로 사용되었으나 현재는 거의 사용되지 않는 방식.

 

OAuth 2.0의 장점

1. 보안 강화

OAuth 2.0은 자원 소유자의 민감한 자격 증명을 클라이언트 애플리케이션과 직접 공유하지 않고, 액세스 토큰을 사용해 자원에 접근할 수 있도록 한다. 이렇게 하면 자격 증명 유출 위험을 줄이고, 토큰의 만료나 리프레시를 통해 보안을 추가적으로 강화할 수 있다.

2. 유연성

OAuth 2.0은 다양한 인증 흐름을 제공하여, 웹 애플리케이션, 모바일 앱, 서버 간 통신 등 여러 상황에 맞게 사용할 수 있다. 각 흐름은 특정한 사용 사례에 맞게 설계되어 있어, 상황에 맞는 최적의 인증 방식을 선택할 수 있다.

3. 확장성

OAuth 2.0은 다양한 클라이언트와 서비스 간의 인증 및 권한 부여 과정을 쉽게 확장할 수 있는 프레임워크다. 예를 들어, 하나의 인증 서버를 통해 여러 애플리케이션이 공통으로 인증 및 권한 부여 절차를 사용할 수 있다. 이를 통해 복잡한 통합 시나리오에서도 일관된 방식으로 사용자 인증을 처리할 수 있다.

4. 서드파티 애플리케이션 통합

OAuth 2.0은 서드파티 애플리케이션이 사용자의 자원에 안전하게 접근할 수 있도록 하는 표준화된 방식을 제공한다. 이를 통해 사용자는 신뢰하는 서드파티 애플리케이션이 자신을 대신해 자원에 접근하도록 허용할 수 있다. 이 과정에서 사용자는 자신의 자격 증명을 제공하지 않고도, 특정한 자원에 대한 접근 권한만을 안전하게 위임할 수 있다.

 

활용 사례

  • 소셜 로그인: 사용자들이 페이스북, 구글, 트위터 등 소셜 미디어 계정을 사용해 다른 서비스에 로그인할 수 있는 기능이 OAuth 2.0을 통해 구현된다. 사용자는 별도의 아이디와 비밀번호를 생성하지 않고, 기존의 소셜 계정을 통해 권한을 위임받아 다양한 애플리케이션에 로그인할 수 있다.
  • API 접근 제어: 많은 서비스가 외부 애플리케이션이나 파트너가 자신들의 API를 통해 데이터를 요청할 수 있도록 한다. 이때 OAuth 2.0을 사용하여 외부 애플리케이션이 API에 접근할 수 있는 권한을 안전하게 부여할 수 있다.
  • 클라우드 서비스 통합: 다양한 클라우드 서비스 간의 데이터 통합이나 상호작용을 가능하게 한다. 예를 들어, 구글 드라이브에 저장된 파일을 다른 서비스에서 접근할 때 OAuth 2.0을 통해 구글 계정 자격 증명을 사용하지 않고도 안전하게 파일에 접근할 수 있다.

 

결론

OAuth 2.0은 다양한 인터넷 서비스 간의 안전한 인증 및 권한 부여를 제공하는 강력한 프레임워크다. 이 프로토콜을 사용하면 클라이언트 애플리케이션이 사용자의 자원에 안전하게 접근할 수 있으며, 여러 상황에 맞춘 유연한 인증 흐름을 통해 각 서비스 간의 통합을 쉽게 확장할 수 있다. OAuth 2.0을 도입하면 애플리케이션의 보안을 강화하고, 사용자 경험을 개선할 수 있는 중요한 인증 방식이 될 수 있다.

 

 

REFERENCES

- ChatGPT

반응형
저작자표시 동일조건

티스토리툴바