# OAuth 2.0

[yoogail105]

OAuth 2.0

OAuth

• Open API에서의 인증 방식
• Third-party 앱의 인증 권한 부여 및 관리를 위해서 사용
  • ex. 어떤 어플의 회원가입을 카카오톡 또는 네이버 등의 아이디로 하는 것
• 대부분의 서비스는 인증(Authentication)과 권한 부여(Authorization)로 구성
• access token 으로 알려진 보안 객체를 통해 → 암호 공유 없이 웹 리소스에 접근을 허용
• access token은 암호가 메인 서비스 내부에 안전하게 유지되게 한다.
  • 암호에 접근하는 것 불가능
• 앱이 서비스에 연결하려면, 그 자체의 접근 토큰을 얻어야 한다.
• 접근 토큰을 해당 앱에 대한 접근 권한을 취소하려는 경우, 접근 토큰을 취소하 수 있음
• OAuth 기반 서버에서 인증이 필요한 API를 호출할 때, 이 토큰을 이용
  

OAuth 2.0 프로토콜 구성요소

• Resource owner : 데이터의 주인으로, 사용자
  • resource server에 의해서 저장되고, 접근되고, 보호되는 데이터의 주인
  • 데이터의 주인으로서, resource server에 저장된 데이터에 접근하고, 특정 작업을 수행할 수 있는 권한을 client에 부여할 수 있음
• Client : 모바일 앱, 서비스
  • authorization server로부터 온 access token을 사용하는 어플리케이션
  • Resource server로부터 호스팅되는 resource owner의 데이터에 접근하기 위해 authorization server로부터 온 엑세스 토큰
  • 각 클라이언트는 고유한 ID(client_id)로 정의됨
  • 이 고유한 ID는
    • authorization server에 등록됨
    • OAuth2 access token에 삽임됨
    • Resource server로부터 유효성을 검사 받음
• Resource server : 유효한 access token이 제공되면 리소스들을 제공, 데이터를 가진 서비스 제공자
  • 이는 추상화한 것인데, 뭘 추상화 했냐면
  • 리소스 데이터를 저장하고, 이를 수신할 권한이 있는 client에 이 데이터를 반환하는 어떤 시스템이나 컴포넌트를 가리키는 것을 추상화(an abstraction)
  • 예를 들어, 웹 서버 데이터 서비스는 사용자의 보호된 자원을 호스팅하고, 클라이언트에 오너의 데이터에 접근하는 권한을 부여
    • 데이터의 접근은 client ID, 유저의 신원, 허용된 범위를 기반으로 함
    • 호스팅?: 정보의 집약체인 서버의 전체 혹은 일부를 이용할 수 있도록 임대해주는 서비스
• Authorization server : 인증(authentication)과 권한 부여(authorization)에 대한 권한을 가지고, access token을 제공하는 서비스 제공자
  • Resource owner의 신용을 인증하는 서버
  • 신분 검증을 위해 인증서버라고 부름
  • 등록된 clients, resource servers의 리스트를 유지
  • 만약 인증이 성공하면, resource owner를 대신해서 **access token을 발급**
• cf. Authentication server
  • 표준으로 정의된 서버는 아님
  • authorization server가 resource owner의 신원을 증명(authenticate)하기 위해서 사용하는 서버
  • resource ownerd의 신원이 확인되면, authorization server는 access token을 발급하기 위한 authorization 프로세스를 진행할 수 있음
• cf. User agent
  • 웹 브라우저, 혹은 클라이언트 애플리케이션을 호스트하는 다른 유형의 프레임워크
  • 브라우저, 모바일 기기 등

⇒ 핵심은! Client가Authorization server로부터 access token을 받고, 이 access token를 가지고 Resource server에 데이터를 요청하여, 원하는 데이터를 받음

[yoogail105]

OAuth 2.0의 흐름과 허가 종류

• OAuth2.0 프로토콜에서는 다양한 클라이언트 환경에 적합하도록 권한 부여 방식에 따라 포로콜을 4가지 종류로 구분
• 하나의 흐름flow은 다양한 OAuth2.0의 actors(위의 구성 요소들)간의 하나 이상의 HTTP 메세지 교환을 나타낸다.
• 각각의 OAuth2 flow는 허가의 타입으로서 표준으로 정의된 이름을 가진다.
• 허가 유형은 client 및 authorization server에서 구성 및 구현
• 허가 유형은 resource server에 의한 검증을 위해 access token에 포함될 수 있음
  

*그림 출처: 🔗 OAuth 2.0 동작 방식의 이해

1. Authorization (code) grant

• 신뢰하는 client에 의해 사용되는 flow
• client는 user agent를 통해 resource owner, authentication server와 상호작용
• resource owner는 authorization server에 client에 인증 코드authorization code를 발급하도록 허가
• client는 authorization server를 사용하여, 인증 코드를 access token과 교환
• 이 때 교환한 access token은 resource owner 대신 resource server에 접근할 수 있도록 해줌
  

2. Resource owner password (credentials) grant

• resource owner가 client와 신뢰하는 관계를 맺었을 때 사용하는 flow
• ex. 사용자resource owner ↔ 모바일 디바이스client
• resource owner, client는 access token를 발급하는 authorization server에 증명authenticate하기 위해 함께 동작한다.
• client는 resource server에 있는 resource owner의 데이터에 접근할 수 있도록 access token을 관리
  

3. Client credentials grant

• client가 신뢰하는 어플리케이션일 때
• 자신의 서비스에서 제공하는 어플리케이션일 때
• 예를 들어, client는 resource owner이기도 한 파트너 회사의 비즈니스 어플리케이션 일 수 있음
• 이 때의 flow는 매우 간단
  • client는 resource server에 자신의 유저 아이디와 비밀번호를 가지고 증명을 함
  • → 그 응답으로 access token을 받음
  • → client는 access token을 사용해서resource server에 있는 데이터에 접근
    

4. Implicit grant

• 주로 public client일 때 사용
• Authorization (code) grant에서 인증 코드를 교환하는 과정을 빼고 발급받는 방식으로, client의 자격 증명만으로 access token을 획득하는 방식
• resource owner가 client에 데이터에 대한 엑세스를 허용하면
• → user agent가 access token을 보냄
• → access token은 client를 대신해서 resource server에 접근할 수 있음
  

🔖 참고

• https://ios-development.tistory.com/65
• https://docs.progress.com/bundle/openedge-new-info-1172/page/About-OAuth2.html
• https://devmjun.github.io/archive/OAuth
• https://wordbe.tistory.com/entry/OAuth-20-설명
• https://blog.wishket.com/호스팅이란-무엇일까-그린클라이언트/