[💻 코드스테이츠 FE 44기] OAuth

✔️ 시작

OAuth에 대해 학습하면서 어떤 원리도 작동하는지 등에 대해 학습했다.

---

📍 알게 된 것

우리가 흔히 볼 수 있는 소셜 로그인 인증 방식은 OAuth 2.0이라는 기술을 바탕으로 구현 된다.

🤝 OAuth

• 인증을 중개해 주는 메커니즘이다.
• 보안된 리소스에 액세스 하기 위해 클라이언트에게 권한을 제공하는 프로세스를 단순화하는 프로토콜이다.
• 이미 사용자 정보를 가지고 있는 웹 서비스(naver, kakao, googl 등)에서 사용자의 인증을 대신해 주고, 접근 권한에 대한 토큰을 발급한 후, 이를 이용해 내 서버에서 인증이 가능해 진다.
  
  오늘의집 로그인 페이지 "SNS계정으로 간편 로그인/회원가입" 부분

• OAuth를 활용한다면 자주 사용하고 중요한 서비스(facebook, kakao, naver 등)의 ID와 Password만 기억해 놓으면 해당 서비스들을 통해 외부 서비스로 소셜 로그인을 할 수 있다.
• 검증되지 않은 App에서 OAuth를 사용해 로그인할 경우 유저의 민감한 정보가 직접 App에 노출될 일이 없고 인증 권한에 대한 허가를 미리 유저에게 구해야 하기에 더 안전하게 사용할 수 있다.(보안상의 이점)

✔️ OAuth의 주체

- Resource Owner(사용자)

• OAuth 인증을 통해 소셜 로그인을 하고 싶어 하는 사용자
  - Resource : 사용자의 이름, 전화번호 등의 정보
  (이러한 정보의 주인이 사용자이기 때문에 Resource Owner라 한다.)

- Resource Server & Authorization Server (사용중인 서버)

Resource Server

• 사용자가 소셜 로그인을 하기 위해 사용하는, 이미 사용 중인 서비스의 서버 중 사용자의 정보를 저장하고 있는 서버

Authorization Server

• 이미 사용 중인 서버의 서버 중 인증을 담당하는 서버
  

- Application

• 사용자가 소셜 로그인을 활용해 이용하고자 하는 새로운 서비스는 환경에 따라서 조금씩 다르게 불린다.
  (경우에 따라서 Applicaiton을 Client와 Server로 세분화해서 지칭)

✔️ OAuth 인증 방식의 종류와 흐름

mplicit Grant Type, Authorization Code Grant Type, Refresh Token Grant Type

Grant Type?

Authorization Server에서 Access Token을 받아오는 방식

1. Implicit Grant Type

• 새로운 서비스에 바로 액세스 토큰을 주는 방식으로 보안성이 조금 떨어진다.(잘 사용하지 않는 이유)

2. Authorization Code Grant Type

• Implicit Grant Type에서 인증 단계를 한 단께 추가한 인증 방식
• 바로 토큰을 전달하지 않고 Authorization Code를 확인 후 전달한다.
  - Authorization Code를 사용한 인증 단계가 추가로 있기 때문에 비교적 더 안전
• 액세스 토큰이 만료 되었으 때 매번 과정을 거쳐야하기 때문에 사용자 편의성에 좋지 않다.

3. Refresh Token Grant Type

• 리프레시 토큰을 이용해 액세스 토큰을 받아오는 인증 방식
• 리프레시 토큰을 검증한 다음 액세스 토큰을 다시 발급해 준다.

✔️ OAuth의 장점

1. 쉽고 안전하게 새로운 서비스를 이용할 수 있다.

• 사용자는 OAuth를 통해 특정 사이트에 아이디, 비밀번호, 이름, 전화번호 등의 정보를 일일이 입력하지 않아도 클릭 몇 번 만으로 손쉽게 가입할 수 있어 편리하다.
• 정보를 해당 서비스에 직접 노출하는 것이 아니기에 직접 가입하는 것보다 더 안전하다.
• Application의 입장에서도 회원의 정보를 직접 가지고 있어 발생할 수 있는 회원 정보 유출의 위험성에서 부담을 덜 수 있다.

2. 권한 영역을 설정할 수 있다.

• OAuth 인증을 허가한다고 해서 새로운 서비스가 사용 중이던 서비스의 모든 정보에 접근이 가능한 것은 아니다. (사용자는 원하는 정보에만 접근을 허락할 수 있어 보다 더 안전)
• OAuth 설정 페이지에서는 Application에서 필요한 정보를 선택할 수 있다.(사용자는 이 중 원하는 정보만 선택적으로 제공할 수 있다.)

---

✏️ 마치며

OAuth이 우리가 흔히 아는 소셜 계정으로 로그인할 수 있게 해주는 거였다.
이번 학습을 통해 처음 알게 되었고

OAuth로 간편하게 서비스를 이용할 수 있으면서도 나의 개인 정보를 안전하게 지킬 수 있는 거 같다.