API 인증방식 중 OAuth 2.0 초보자용 설명

OAuth 2.0은 인증(Authentication) 과 인가(Authorization) 를 위한 업계 표준 프로토콜이다. 특히, 사용자가 자신의 계정 정보(아이디, 비밀번호)를 직접 제3자 애플리케이션에 제공하지 않고도, 해당 애플리케이션이 특정 서비스(예: Google, Facebook, GitHub)의 사용자 계정에 접근할 수 있도록 권한을 부여하는 데 사용된다 .

쉽게 말해, "다른 앱에게 내 정보 접근 권한을 안전하게 주는 방법" 이다.

핵심 개념

• 인증(Authentication): 사용자가 누구인지 확인하는 과정 (예: 로그인)
• 인가(Authorization): 인증된 사용자에게 특정 리소스에 대한 접근 권한을 부여하는 과정

OAuth 2.0 작동 방식 (간단한 예시)

1. 사용자 요청: 사용자가 사진 관리 앱(클라이언트)에서 "Google Drive에서 사진 가져오기" 기능을 사용하려고 한다.
2. 권한 요청: 클라이언트는 사용자를 Google 인증 서버(권한 서버)로 리디렉션시킨다. 이때, 클라이언트는 자신이 어떤 권한(예: Google Drive 파일 읽기)을 원하는지 명시한다.
3. 사용자 인증 및 동의: 사용자는 Google에 로그인(인증)하고, 사진 관리 앱이 자신의 Google Drive 파일에 접근하는 것을 허용(동의)한다.
4. 권한 부여 (Authorization Grant): 사용자가 동의하면, 권한 서버는 클라이언트에게 임시 코드(Authorization Code)를 발급한다.
5. 접근 토큰(Access Token) 요청: 클라이언트는 이 코드를 사용하여 권한 서버에 접근 토큰을 요청한다.
6. 접근 토큰 발급: 권한 서버는 코드를 검증하고 클라이언트에게 접근 토큰을 발급한다.
7. 리소스 접근: 클라이언트는 접근 토큰을 사용하여 Google Drive API(리소스 서버)에 접근하고, 사용자의 사진을 가져올 수 있습니다.
8. 접근 토큰 만료: 접근 토큰은 일정 시간이 지나면 만료되며, 필요한 경우 갱신 토큰(Refresh Token)을 사용하여 새로운 접근 토큰을 발급받을 수 있다.

쉽게 이해하기: Oauth 2.0 없이 vs 사용시

새로운 사진 관리 앱을 다운받았다고 생각해 보자. 이 앱은 여러분의 구글 드라이브에 있는 사진들을 정리해주는 기능을 제공한다.

OAuth 2.0 없이 진행된다면

• 사진 앱에게 구글 아이디와 비밀번호를 알려줘야 한다.
• 사진 앱이 여러분의 구글 드라이브 뿐만 아니라, 지메일, 구글 캘린더 등 모든 구글 정보에 접근할 수 있게 된다.
• 만약 사진 앱이 해킹당하면, 구글 계정 전체가 위험해진다.

OAuth 2.0 사용하면

• 사진 앱의 요청: 사진 앱이 "구글 드라이브에 있는 사진 좀 봐도 될까요?" 하고 사용자에게 물어본다.
• 구글에게 허락받기: 사용자는 구글 로그인 화면으로 이동하고, 구글에 로그인을 한다.
• 권한 선택: 구글은 "사진 앱이 당신의 구글 드라이브 사진을 보는 것을 허락하시겠습니까?" 하고 물어본다. 여기서 "허락" 또는 "거부"를 선택할 수 있다.
• 허락하면? (접근 토큰): 구글이 사진 앱에게 "특별한 열쇠(접근 토큰)"를 준다.
• 사진 앱 사용: 사진 앱은 이 "열쇠"를 가지고 구글 드라이브에 가서 사진만 볼 수 있다. 지메일이나 다른 정보는 절대 볼 수 없다.
• 열쇠는 임시: 이 "열쇠"는 일정 시간 동안만 유효하고, 시간이 지나면 자동으로 사라진다. 더 안전하게...

OAuth 2.0의 주요 역할

• Resource Owner (리소스 소유자): 서비스의 계정을 가진 사용자 (예: Google 사용자)
• Client (클라이언트): 리소스 소유자의 리소스에 접근하려는 애플리케이션 (예: 사진 관리 앱)
• Authorization Server (권한 서버): 리소스 소유자를 인증하고 클라이언트에게 접근 토큰(Access Token)을 발급하는 서버 (예: Google 인증 서버)
• Resource Server (리소스 서버): 보호된 리소스를 호스팅하는 서버 (예: Google Drive API)

OAuth 2.0의 핵심 장점

• 보안: 사용자는 자신의 계정 정보를 제3자 앱에 직접 제공하지 않아도 되므로 보안이 강화된다.(사용자의 구글 아이디와 비밀번호를 사진 앱에게 직접 알려주지 않아도 된다)
• 세분화된 권한 제어: 사용자는 앱에 부여하는 권한을 세부적으로 제어할 수 있다. (사진 앱에게 어떤 정보(예: 구글 드라이브 사진)에 접근할 수 있는지 사용자가 직접 선택할 수 있다.
• 편의성: 사용자는 여러 서비스에서 동일한 인증 정보를 사용할 수 있어 편리하다.
• 표준화: 널리 사용되는 표준 프로토콜이므로 다양한 서비스와 앱 간의 호환성이 높다.

OAuth 2.0의 다양한 Grant Type (권한 부여 방식)

OAuth 2.0은 다양한 시나리오에 맞게 여러 가지 권한 부여 방식을 제공한다.

• Authorization Code Grant: 가장 일반적인 방식으로, 보안이 높고 웹 애플리케이션에 적합하다. 위에서 설명한 예시가 이 방식이다.
• Implicit Grant: 클라이언트 측 JavaScript 애플리케이션에 사용되었던 방식이지만, 보안 문제로 인해 현재는 권장되지 않는다.
• Resource Owner Password Credentials Grant: 사용자의 아이디와 비밀번호를 직접 사용하여 접근 토큰을 얻는 방식으로, 신뢰할 수 있는 클라이언트(예: 서비스 제공자가 직접 만든 앱)에서만 사용해야 한다.
• Client Credentials Grant: 클라이언트(애플리케이션) 자체가 리소스에 접근할 때 사용한다. 사용자의 개입 없이 백그라운드 작업 등에 사용된다. (네이버 커머스 api가 이 방식이다)
• Device Authorization Grant: 입력 장치가 제한된 기기(스마트 TV 등) 에서 사용자 인증을 할 때 사용된다.

OAuth 2.0은 어디에 쓰이나?

• 웹사이트에서 "페이스북으로 로그인", "구글로 로그인" 같은 기능들
• 인스타그램 사진을 다른 앱에서 보여주는 기능
• 스마트 TV에서 유튜브 계정에 로그인하는 기능 등등...

맺음말

OAuth 2.0은 현대 API 보안에서 매우 중요한 역할을 하는 프로토콜이다. 사용자와 애플리케이션 모두에게 안전하고 편리한 인증 및 인가 메커니즘을 제공하며, 웹, 모바일, IoT 등 다양한 환경에서 널리 사용되고 있다.