1. OAuth란? 

인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준

2. OAuth 참여자

• Resource Server

로그인을 할 때 사용하고자 하는 자원을 보유하고 있는 서버 (카카오 로그인이라면 카카오에 해당).

허용할 수 있는 보호된 리소스를 호스팅하는 서버, 엑세스 토큰을 사용하여 보호된 리소스 요청에 응답한다.

• Resource Owner

자원의 소유자로 로그인하는 실제 유저

• Client

Resource Server의 접근해 자원에 대한 정보를 가져오는 클라이언트 

• Authorization Server

권한 서버. 인증/인가를 수항하는 서버로 클라이언트의 접근 자격을 확인하고 Access Token을 발하고 권한을 부여한다. 보통은 Resource Server와 Client사이에서 중개 역할을 한다.

3. OAuth Flow

1. User가 로그인이 필요한 클라이언트의 자원에 접근한다.

2. 권한 서버에 인증 코드을 요청한다

3. 권한 서버는 User를 로그인하도록 로그인창으로 redirect한다

4. User의 로그인과 함께 User에게 클라이언트가 등록한 정보 제공 동의 허용 여부에 대한 동의를 보낸다.

5. 권한서버는 클라이언트에게 Authorization(인가) Code를 발급한다.

6. 그리고 이를 받은 클라이언트는 Authorization Code, client id, secret을 권한 서버로 다시 전송한다,

7. 권한서버는 받은 것을 검증해 통과하면 ID Token과 Access Token을 발급한다.

8. 이 토큰을 가지고 이제는 API서버에 유저 데이터를 요청한다.

9. 해당 정보에 대한 요청을 클라이언트에게 보낸다.

아래는 이번 주 우리가 실습해본 카카오 로그인의 흐름을 나타낸 다이어그램이다.

카카오 역시 위의 그림과 동일한 흐름으로 인증하고 있음을 보여준다. 

인증의 정의

인증은 해당 유저가 실제 유저인지 인증하는 개념

인가의 정의

해당 유저가 특정 리소스에 접근이 가능한지 허가를 확인하는 개념

웹 어플리케이션 인증의 특수성

일반적으로 웹은 서버와 클라이언트으로 구성되며 서로 멀리 떨어져있다. 그리고 Http라는 프로토콜을 이용하여 통신하는데, 그 통신은 비연결성(Connectionless) 무상태(Stateless)로 이루어진다.

비연결성 무상태?

• 비연결성

실시간으로 계속 연결되어있어야 하는 채팅이나 게임을 하지않으면 서버와 클라이언트는 실제로 연결하고 있지 않는다. 리소스를 절약하기 위해서인데,  서버는 하나의 요청에 하나의 응답을 내보내고 연결을 끊고 있는다.

• 무상태

서버가 클라이언트 상태를 저장하지 않는다. 각각의 클라이언트의 상태를 저장하는 거 역시 비용과 부담 이 늘어난다. 따라서 서버는 클라이언트가 전에 어떠한 요청을 보냈는지 관심도 없고 알지도 못한다.

그럼 비연결성 무상태에서 유저가 인증을 통과했다는 사실을 어떻게 유지할 수 있는 걸까?

일반적으로 웹 어플리케이션에서는 두가지 방법을 통해 이를 처리한다.

쿠키 - 세션 방식의 인증

서버가 특정 유저가 로그인 되었다는 상태를 저장하는 방식.

인증과 관련된 최소한의 정보를 서버가 저장하고 있어 로그인을 유지시킨다는 개념

JWT(JSON Web Token) 기반 인증

인증에 필요한 정보들을 암호화시킨 토큰(JWT)을  HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식