OAuth

Kim

Java software engineer.

OAuth

업데이트: March 31, 2021

OAuth

인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용된다.
접근 위임을 위한 개방형 표준[OAuth 1.0(RFC5849), OAuth 2.0(RFC6749)]이다.

용어

User, 사용자

서비스 제공자와 소비자를 사용하는 계정을 가지고 있는 개인이다.

Consumer, 소비자

Open API를 이용하여 개발된 OAuth를 사용하여 서비스 제공자에게 접근하는 웹사이트 또는 애플리케이션이다.

Service Provider, 서비스 제공자

OAuth를 통해 접근을 지원하는 웹 애플리케이션(Open API를 제공하는 서비스)이다.

Consumer Secret, 소비자 비밀번호

서비스 제공자에서 소비자가 자신임을 인증하기 위한 키이다.

Request Token, 요청 토큰

소비자가 사용자에게 접근권한을 인증받기 위해 필요한 정보가 담겨있으며 후에 접근 토큰으로 변환된다.

Access Token, 접근 토큰

인증 후에 사용자가 서비스 제공자가 아닌 소비자를 통해서 보호된 자원에 접근하기 위한 키를 포함한 값이다.

인증 방식

oauthDiagram

소비자가 서비스 제공자에게 요청토큰을 요청한다.
서비스 제공자가 소비자에게 요청토큰을 발급해준다.
소비자가 사용자를 서비스 제공자로 이동시킨다. 여기서 사용자 인증이 수행된다.
서비스 제공자가 사용자를 소비자로 이동시킨다.
소비자가 접근 토큰을 요청한다.
서비스 제공자가 접근 토큰을 발급한다.
발급된 접근 토큰을 이용하여 소비자에서 사용자 정보에 접근한다.

OAuth 2.0에서 개선된 점

웹 애플리케이션이 아닌 애플리케이션의 지원이 강화되었다.
HTTPS를 사용하고 HMAC을 사용하지 않아서 암호화가 필요없다.
Signature 단순화 정렬과 URL 인코딩이 필요없다.
Access Token의 Life-Time을 지정할 수 있다.

Reference

댓글남기기

참고

Leetcode Java Minimum Difference Between Largest and Smallest Value in Three Moves

July 03 2024

Leetcode Minimum Difference Between Largest and Smallest Value in Three Moves Java

Leetcode PostgreSQL User Activity for the Past 30 Days I

July 02 2024

Leetcode User Activity for the Past 30 Days I PostgreSQL

Leetcode Java Three Consecutive Odds

July 01 2024

Leetcode Three Consecutive Odds Java

Leetcode Java All Ancestors of a Node in a Directed Acyclic Graph

June 29 2024

Leetcode All Ancestors of a Node in a Directed Acyclic Graph Java