OAuth / JWT / 소셜로그인 (feat. Spring Security)

[yoon-chaejin]

• 생활코딩 - OAuth 2.0
• Spring Boot and OAuth2 Tutorial
• RFC 6479 The OAuth 2.0 Authorization Framework
• OAuth 2.0

ISSUE

• WebSecurityConfigurerAdapter Deprecated
• undefined variables/methods
  • handler
  • oauth2AuthorizedClient()
• cannot import WebClient

[yoon-chaejin]

OAuth 2.0 간단하게 이해하기 (Authorization Code Grant Type)

참고자료 : 생활코딩 - OAuth 2.0

Role (역할)

• 내가 지금 개발하는 서비스 (= Mine, Client)
• 자원(정보)의 소유자 (= User, Resource Owner)
• 자원(정보)를 보관하고 있는 곳 (= Their, Resource Server + Authorization Server)
  • Resource Owner 가 이미 무언가를 등록해놓은 곳
  • 엄밀히 Authorization Server 와 Resource Server 는 구분되지만, 실제로는 한 곳에서 처리되는 경우가 있어서 이해를 위해 단순화함

    작업 순서

    1. Client를 Authorization Server에 등록
    2. Resource Owner가 Client에서 어떤 작업을 하던 중, Client가 Resource Server의 Resource 를 필요로 하는 상황이 발생
    3. Client는 Resource Owner를 Authorization Server 쪽으로 Redirect 시키고, Authorization Server는 Resource Owner에게 승인할지 여부를 물어봄
    4. Resource Owner가 승인하면, Authorization Server는 1단계에서 등록한 Callback URL 에 인증 방식에 맞춰 필요한 정보를 전달
    5. Client는 Resource Owner를 통해 Authorization Server 으로부터 전달받은 정보를 가지고 Authorization Server 으로부터 Access Token 을 발급받음
    6. Client는 발급받은 Access Token 을 가지고 Resource Server 로 데이터 요청

cf. 만약 발급받은 Access Token 이 만료된 경우, Client는 Refresh Token 을 가지고 Authorization Server로부터 다시 Access Token 을 발급받을 수 있음 (5단계를 다시 진행한 것)

[yoon-chaejin]

OAuth Authorization Grant (인증 방식)

• Authorization Code
• Implicit
• Resource Owner Password Credentials
• Client Credentials

[yoon-chaejin]

Spring Boot and OAuth2

참고자료 : Spring Boot and OAuth2 Tutorial

실습 순서

• simple : Single Sign On With Github
• click : Add a Welcome Page
• logout : Add a Logout Button
• two-providers : Login with Github
• custom-error : Adding an Error Page for Unauthenticated Users

[yoon-chaejin]

What is SSO (Single Sign-On)?

[yoon-chaejin]

Filter / Interceptor / Thread Control (?)

[yoon-chaejin]

OAuth 방식의 보안 취약점

• [참고자료] https://grooveshark.tistory.com/26 OAuth 2_0 개요 및 보안 고려사항_FN.pdf