minkukjo
commented
2 years ago 느낀점
- OAuth2 도메인이 전문분야이다보니... 적당히 읽으면서 넘어갔던 것 같다.
- 최근에 OAuth2 표준 문서를 보면 Authroization Code Grant가 OAuth2 인증 방식의 Defacto가 된 것을 확인할 수 있다. 나머지 두 방식은 legacy라는 prefix가 붙어있음
- client-credentials 역시 직접적으로 유저 id,pw와 토큰을 요청하는 형식이라 보안상 좋아보이지 않음. (물론 시크릿은 전달이 되지만)
질문
- 자체 서명인증서를 사용하는 것의 장/단점
- 장점 : 개발 환경에서 셀프로 만들어서 HTTPS를 적용해볼 수 있다.
- 단점 : 운영 환경에선 못쓴다. Why? 브라우저가 해당 인증서가 공인된 CA로부터 발급된 인증서인지를 모르기 때문에 브라우저단에서 막힐 수 있음
- OAuth 2.0 인증코드의 사용 목적
- Authorization Code를 가지고 토큰을 요청하는 단계가 추가되어서 보안에 강함
- OAuth 2.0 스코프의 사용 목적
- 해당 토큰으로 접근할 수 있는 자원의 범위를 명시하기 위함. ( e.q. 카카오 계정의 이메일, 프로필 사진 등 어느정도의 정보까지 접근하게 해줄 것인지에 대한 명세 )
- JWT 토큰이란?
- Json Web Token의 약자로 기존의 Opaque Token과는 다르게 토큰 Claim에 Payload를 저장할 수 있는 토큰
- JWT 토큰에 저장된 정보를 신뢰할 수 있는 이유?
- 내부적으로 Payload는 암호화 알고리즘과 시크릿 키를 사용하여 암호화 됨. 이 둘을 모르면 복호화를 할 수 없기 때문.
- 네이티브 모바일 앱에서 사용하기 적합한 OAuth 2.0 권한 승인 흐름은 무엇인가?
- Authorizaiton Code Grant Type + PKCE
- 참고로 PKCE는 OAuth 2.1에서 필수가 될 예정
- OIDC는 OAuth 2.0에 어떤 기능을 추가하는가?
- 해당 유저의 신원까지 확인하기 위해 id_token이라는 JWT 토큰을 별도로 발급해줌. 이걸 가지고 해당 유저가 누구인지 식별할 수 있는 기능까지 제공해줌. (개꿀~)
MinJunKweon
느낀점