OAuth2.0 | Notion

📌 OAuth2.0이란?

인증을 위한 개방형 표준 프로토콜
Third-Party 프로그램에게 리소스 소유자를 대신하여 리소스 서버에서 제공하는 자원에 대한 접근 권한을 위임하는 방식

📌 주요 용어

📌 OAuth와 로그인

<aside> 💡 OAuth와 로그인은 분리해서 이해해야 한다.

</aside>

일상 생활을 예로 들어 OAuth와 로그인의 차이를 설명해 보겠다. 사원증을 이용해 출입할 수 있는 회사를 생각해 보자. 그런데 외부 손님이 그 회사에 방문할 일이 있다. 회사 사원이 건물에 출입하는 것이 로그인이라면 OAuth는 방문증을 수령한 후 회사에 출입하는 것에 비유할 수 있다. 다음과 같은 절차를 생각해 보자.

나방문씨(외부 손님)가 안내 데스크에서 업무적인 목적으로 김목적씨(회사 사원)를 만나러 왔다고 말한다.
안내 데스크에서는 김목적씨에게 나방문씨가 방문했다고 연락한다.
김목적씨가 안내 데스크로 찾아와 나방문씨의 신원을 확인해 준다.
김목적씨는 업무 목적과 인적 사항을 안내 데스크에서 기록한다.
안내 데스크에서 나방문 씨에게 방문증을 발급해 준다.
김목적씨와 나방문씨는 정해진 장소로 이동해 업무를 진행한다.

위 과정은 방문증 발급과 사용에 빗대어 OAuth 발급 과정과 권한을 이해할 수 있도록 한 것이다. 방문증이란 사전에 정해진 곳만 다닐 수 있도록 하는 것이니, '방문증'을 가진 사람이 출입할 수 있는 곳과 '사원증'을 가진 사람이 출입할 수 있는 곳은 다르다. 역시 직접 서비스에 로그인한 사용자와 OAuth를 이용해 권한을 인증받은 사용자는 할 수 있는 일이 다르다.

OAuth에서 'Auth'는 'Authentication'(인증)뿐만 아니라 'Authorization'(허가) 또한 포함하고 있는 것이다. 그렇기 때문에 OAuth 인증을 진행할 때 해당 서비스 제공자는 '제 3자가 어떤 정보나 서비스에 사용자의 권한으로 접근하려 하는데 허용하겠느냐'라는 안내 메시지를 보여 주는 것이다.

회사 방문 과정과 OAuth 인증 과정

📌 OAuth2.0 프로토콜을 구성하는 4가지의 역할

Roles

📌 Obtaining Authorization

Authorization Code Grant │ 권한 부여 승인 코드 방식
Implicit Grant │ 암묵적 승인 방식
Resource Owner Password Credentials Grant │ 자원 소유자 자격증명 승인 방식
Client Credentials Grant │ 클라이언트 자격증명 승인 방식

📌 카카오 OAuth2.0 Key 발급 흐름

카카오 로그인 버튼 클릭
카카오 계정으로 로그인 > 자격 증명 성공 시, 동의 화면(needs_agreement)
인가 코드 Redirect URI로 발급
- Request
- Response
인가 코드로 Access Token, Refresh Token 획득
- Request
- Response

Untitled

위의 로그인 진행 순서를 표현한 이미지에는 카카오 서버가 하나로 표현되어 있지만, 카카오 서버의 호스트는 인증 서버와 API 서버들로 나뉩니다. 카카오 로그인은 인증 서버가, 사용자 정보 가져오기 등 다른 기능은 API 서버들이 각각 요청을 받고 작업을 수행합니다.

카카오 로그인 가이드

Naver vs Kakao