• 바로가기

OAuth란?

OAuth(Open Authorization)이란 인증을 위한 개방형 표준 프로토콜입니다

서버는 로그인, 개인정보 관리 책임 등을 Third-Party Application(ex - Google, Facebook, Kakao) 등에게 위임하고, 서버는 각 서드파티가 가지고 있는 사용자의 리소스를 내 애플리케이션에서 조회할 수 있습니다

즉, 사용자는 구글계정 하나만 가입해도 OAuth 덕분에 이 계정을 이용해 여러개의 사이트에 권한을 부여받을 수 있다는 뜻입니다.

OAuth 2.0?

2010년 IETF에서 OAuth1.0 공식 표준안이 RF 5849로 발표되었고, OAuth의 세션 고정 공격을 보완한 Oauth 1.0a를 거쳐 지금은 OAuth의 구조적인 문제점을 해결하고 핵심 요소만을 차용한 유사 프로토콜 WRAP(Web Resource Access Protocol)을 기반으로 발표한 OAuth 2.0(RFC 6749, RFC 6750)를 많이 사용합니다

1.0 버전보다 개선된 사항

• 비 브라우저 기반 애플리케이션에 대한 더 나은 지원
  • 1.0에서는 웹 기반 애플리케이션에서 주로 사용했고, 비 브라우저에 대해서 불편사항이 있었습니다
  • 2.0은 보다 범용적인 프로토콜이며, 다양한 플랫폼에서 사용할 수 있습니다
• 암호화 방식 및 서명
  • 1.0에서는 복잡한 암호화 과정을 거쳐야 했고, 서버 리소스에 대한 모든 API 호출에서 서명을 생성한 후 확인해야 했습니다
  • 2.0은 HTTPS를 통해 발급된 토큰만 사용하여 요청할 수 있어서 암호화가 필요하지 않고, SSL을 사용하므로 서명을 생성하지 않습니다
• 역할 분리
  • 2.0에서는 Authorization Server과 Resource Server를 분리할 수 있어서, 서비스의 규모가 커질수록 서비스의 흐름을 파악하기 쉬워집니다

OAuth 2.0의 요소