[Spring Security] OAuth 2.0을 이용한 인증

카카오 로그인 실습 - Web

J219. Spring Boot OAuth2 Google, Naver Login

💡 OAuth 2.0을 이용한 인증

OAuth

• 외부 서비스의 인증 및 권한 부여를 관리하는 범용적인 프로토콜

OAuth 2.0

• 모바일에서도 사용 용이
• 반드시 HTTPS를 사용하므로 보안이 강화됨
• Access Token의 만료 기간이 생김

→ OAuth 2.0의 인증 방식은 4가지 있음 → 가장 범용적으로 쓰이는 것은 Authorization Code Grant

인증 순서

• Resource Owner : 일반 사용자
• Client : 우리가 만든 웹 어플리케이션
• Authorization Server : 권한 관리 및 Access Token, Refresh Token을 발급해주는 서버
• Resource Server : OAuth 2.0을 관리하는 서버의 자원을 관리하는 곳

1. Resource Owner가 Client에게 인증 요청
2. Client는 Authorization Request를 통해 Resource Owner에게 인증할 수단(Facebook, Google 로그인 url)을 보냄
3. → Resource Owner는 해당 Request를 통해 인증을 진행
4. 인증을 완료했다는 신호로 Authorization Grant를 url에 실어 Client에게 보냄
5. Client는 해당 권한 증서를 Authorization Server에 보냄
6. Authorization Server는 권한 증서를 확인 후, 유저가 맞다면 Client에게 Access Token, Refresh Token, 그리고 유저의 정보를 발급
7. Client는 해당 Access Token을 DB에 저장하거나 Resource Owner에게 넘김
8. Resource Owner가 Resource Server에 자원이 필요하면, Client는 Access Token을 담아 Resource Server에 요청
9. Resource Server는 Access Token이 유효한 지 확인 후, Client에게 자원을 보냄→ 그 후 다시 Resource Server에 자원을 요청
10. → 만일 Refresh token도 만료되었을 경우, Resource Owner는 새로운 Authorization Grant를 Client에게 넘겨야 함
11. → 만일 Access Token이 만료됐거나 위조되었다면, Client는 Authorization Server에 Refresh Token을 보내 Access Token을 재발급 받음