[OAuth] 1. OAuth 2.0의 핵심 개념과 권한 부여 방식 4가지

1. 기본 개념

2. OAuth2의 4가지 역할

OAuth 2.0 역할을 너(사용자) 기준으로 쉽게 설명하면:

3. 4가지 권한 부여 방식

① Authorization Code Grant

• 누가: 일반적인 웹/앱 서비스

• 어떻게:
1. 사용자 로그인 → 코드(code) 발급
2. 클라이언트가 이 코드로 Access Token 받음

• 장점: Refresh Token 사용 가능

• 보안: 매우 높음

[Client] → 인증 요청 → [Auth Server] → 로그인 → code 받음
[Client] → code 제출 → Access Token + Refresh Token 받음

🔒 정리

너: "앱아, 나 카카오로 로그인할게!"

앱: "좋아. 카카오야, 얘가 로그인했다는데, 이 코드 좀 확인해줘."

카카오: "응, 맞는 코드니까 이 Access Token 줌"

앱: "이걸로 얘 정보 좀 줘봐"

카카오: "ㅇㅇ 이 사람 정보는 이거야"

앱: "로그인 완료!"

② Implicit Grant

• 누가: JS 앱, 싱글 페이지 앱 (SPA)

• 어떻게:
1. 로그인 후 바로 Access Token 발급 (코드 없음)

• 단점: Refresh Token 사용 불가, URL에 노출됨

• 보안: 낮음 → 요즘은 잘 안 씀

[Client] → 인증 요청 (response_type=token) → Access Token 바로 받음

🔒 정리

너: "앱아, 나 카카오로 로그인할래"

앱: "오키, 카카오 로그인 페이지 띄울게"

너: (로그인 완료)

카카오: "여기 Access Token 바로 줄게!"

앱: "오케이! 이걸로 사용자 정보 요청해야지!"

③ Resource Owner Password Credentials Grant

• 누가: 내 앱, 내 유저만 쓰는 상황

• 어떻게:
1. 유저 ID/PW를 클라이언트가 직접 받아서 서버에 전달

• 장점: 구현 간단

• 단점: ID/PW 노출 위험

• 보안: 중간

• 사용 조건: 리소스 서버와 클라이언트가 같은 회사/시스템일 때만

username/password 직접 제출 → Access Token 받음

🔒 정리

너: "앱아, 나 로그인할게. 여기 내 아이디랑 비밀번호!"

앱: "오케이, 그거 그대로 로그인 서버에 보낼게"

앱 → 로그인 서버: "얘가 이 아이디랑 비번으로 로그인하려는데 맞음?"

로그인 서버: "응, 맞아. 그럼 Access Token 줄게"

앱: "좋아! 이제 이 토큰으로 사용자 정보 요청하자"

리소스 서버: "토큰 확인 완료. 여기 사용자 정보!"

④ Client Credentials Grant

• 누가: 백엔드 서비스 대 백엔드 서비스

• 어떻게:
1. client_id + client_secret만으로 Access Token 발급

• 특징: 유저가 아예 없음, Refresh Token도 없음

• 보안: 보관만 잘하면 안전

[Client] → client_id + secret 제출 → Access Token 받음

🔒 정리

백엔드 서버: "안녕, 나 클라이언트야. 내 client_id랑 secret 줄게"

인증 서버: "ㅇㅋ, 너 신원 확인됨. Access Token 줄게"

백엔드 서버: "고마워! 이걸로 내가 관리 중인 자원에 접근할게"

리소스 서버: "토큰 유효함. 요청한 데이터 여기 있음"

4. 중요 파라미터 정리

✅ 중요 파라미터 쉽게 정리

5. Authorization 헤더 예시

Authorization: Basic base64(client_id:client_secret)