[Web] OAuth의 등장 및 OAuth 2.0 개념에 대해서 쉽게 알아봐요.

📖 들어가며

최근 다양한 웹 서비스를 접해보면 간편한 SNS 로그인으로 쉽게 서비스를 이용할 수 있습니다.

 

이런 간편한 SNS 로그인이 바로 OAuth2.0 프로토콜을 통해 진행됩니다.

 

그럼, OAuth가 어떤 배경에서 등장하였고, 현재는 어떻게 표준화되어 OAuth2.0이라는 이름으로 사용되고 있는지, 그 흐름에 대한 개념을 함께 알아보겠습니다.

🧐 OAuth 등장배경

웹 서비스의 다양성이 증가하면서, 안전하게 정보를 공유하는 방법에 대한 필요성이 생겼습니다.

이로 인해 OAuth(Open Authorization)라는 개념이 탄생하게 되었습니다.

 

이를 설명하기 위해서 한 가지 예를 들어 볼게요.

 

우리의 서비스가 사용자에게 사용자의 구글에 대한 정보를 제공하려면 어떻게 해야 할까요?

 

사용자가 구글에 대한 아이디와 패스워드를 우리 서비스(Client)에게 제공하고, 그럼 우리 서비스(Client)에서 구글에 로그인을 하여 해당 정보를 가져와서 사용자에게 제공하는 방식을 생각해 볼 수 있습니다.

 

하지만 이러한 방식에는 보안 문제에 있어서 매우 취약합니다.

 

사용자 입장에서는 제 3자에게 자신의 SNS 정보를 맡기게 되며 매우 불안하겠죠.

또한, 우리 서비스가 해커에게 DB가 탈취된다면 SNS 정보의 유출까지 발생합니다.

이에 대해서 권한을 해제하려면 해당 SNS의 비밀번호를 변경하는 방법밖에 존재하지 않습니다.

 

그래서 OAuth 프로토콜이 등장하기 이전에는 각 SNS 회사마다 각각 다른 인증 절차를 거치도록 했습니다.

하지만 이렇게 표준화되지 않은 절차는 각 서비스를 개발하며 많은 어려움을 겪게 했습니다.

각 SNS 마다 다른 개발 방법을 사용하여 개발 경험이 좋지 않았고, 유지보수에도 어려움을 겪었습니다.

 

위와 같은 문제들을 해결하기 위해 인증을 위한 개방형 프로토콜로 OAuth가 등장했습니다.

🔍 OAuth2.0이란?

OAuth2.0은 인증을 위한 개방형 표준 프로토콜입니다.

사용자가 서비스 제공자에게 특정 앱이 사용자의 데이터에 접근할 수 있도록 허용하는 방법을 제공합니다.

 

그래서 사용자는 자신의 비밀번호를 공유하지 않고도 제 3자 애플리케이션(우리 서비스)에 자신의 정보에 대한 제한된 접근 권한을 부여할 수 있습니다.

그럼, OAuth1.0은 뭘까요❓
OAuth1.0에 존재했던 복잡성과 표준화 문제로 접근하기 어려운 문제가 존재했습니다.
더욱 보안을 강화하고 표준화를 위해 2.0이 등장했습니다.
인증 프로세스를 단순화하고 확장하면서 안전하게 접근할 수 있도록 했습니다.

OAuth2.0 주요 용어

더 깊이 들어가기 전에 주요 용어부터 짚고 가겠습니다.

• Authentication: 인증 ➡️ 접근 자격이 있는지 검증하는 단계
• Authorization: 인가 ➡️ 자원에 접근할 권한을 부여
• Access Token: 사용자가 해당 토큰을 가지고 SNS 서버에게 정보를 획득할 때 사용되는 토큰입니다. 만료 기간이 상대적으로 짧습니다.
• Refresh Token: Access Token이 만료될 때 이를 갱신하기 위한 목적으로 사용되는 토큰입니다. 그래서 상대적으로 Access Token 보다 긴 만료 기간을 가지고 있습니다.

애플리케이션 등록 및 사용에 필요한 주요 용어

redirect_URI

• 권한 서버가 요청에 대한 응답을 보낼 url을 의미합니다.
• 인증이 성공하면 사용자를 이 URI로 리디렉션 시킵니다.
• 보안을 위해 기본적으로 https를 사용하지만, 개발환경(localhost)은 http가 허용됩니다.

client_id 및 client_secret

• 클라이언트 자격 증명을 나타냅니다.
• 권한 서버는 이 정보를 통해 연결된 클라이언트가 올바른지 확인합니다.
• id는 클라이언트를 식별하는 정보, secret은 클라이언트의 비밀번호로 볼 수 있습니다.

scope

• 접근 권한의 범위를 미리 정의하는 것을 의미합니다.
• 이메일, 이름, 아이디, 주소 등 다양한 정보를 포함할 수 있습니다.

OAuth2.0 주요 구성요소

OAuth2.0 프로토콜은 크게  4가지의 역할을 가진 구성요소로 이루어져 있습니다.

• Resource Owner: 웹 서비스를 이용하려는 사용자 또는 개인 정보 소유자를 의미합니다.
• Client: 자신 또는 개인이 만든 애플리케이션입니다. Resource Server의 자원을 사용하고자 하는 서비스를 의미하며, 프론트엔드나 백엔드와 같은 구분 없이 서비스 그 자체를 의미합니다.
• Resource Server: 사용자의 개인 정보를 보관하고 있는 서버를 의미합니다.
• Authorization Server: 권한을 부여해주는 서버로, Client의 접근 자격 확인하고 Access Token 발급 및 Authorization Code 발급하는 역할을 담당합니다.

여기서 Resource Server와 Authorization Server는 SNS 서비스 내부에서 구현되는 역할입니다.

🌊 OAuth2.0 인증 흐름

그럼 위에서 알아본 용어들을 토대로 어떻게 인증이 진행되는지 알아볼까요?

OAuth2.0 인증 흐름

 

위 그림을 토대로 로그인 과정은 아래와 같습니다.

로그인 요청 (1 ~ 2 과정)

SNS 로그인 페이지

사용자(Resource Owner)가 SNS 로그인 버튼을 클릭하여 로그인을 요청합니다.

이후 Client는 사용자의 브라우저를 Authorization Server로 이동시킵니다.

이때 필요한 정보들이 쿼리 스트링으로 포함됩니다.

로그인 페이지 제공 및 ID/PW 제공 (3 ~ 4 과정)

카카오 로그인 페이지

사용자(Resource Owner)는 제공된 로그인 페이지에서 자신의 ID와 PW를 입력하여 인증을 진행합니다.

Authorization Code 발급 및 Redirect URI로 리디렉트 (5 ~ 6 과정)

Redirect URI 예시

인증이 성공하면, Authorization Server는 사용자를 Redirect URI로 리디렉션 시킵니다.

이때 URL에는 Authorization Code가 포함됩니다.

이 코드는 Client가 Access Token을 받기 위한 일회성 코드입니다.

Authorization Code와 Access Token 교환 (7 ~ 8 과정)

Access Token 발급 예시

Client는 Authorization Code를 Authorization Server에 전달하고, Access Token을 받습니다.

그리고 Client는 이 토큰을 활용해서, 이후 사용자(Resource Owner)의 리소스에 접근하기 위해 사용합니다.

로그인 성공 (9 과정)

이 과정이 성공적으로 마친 후에는 Client가 사용자(Resource Owner)에게 로그인이 성공했음을 알립니다.

Access Token으로 서비스 요청 및 접근 (10 ~ 13 과정)

사용자(Resource Owner)가 Resource Server에 접근을 요청하면, 클라이언트는 저장해 둔 Access Token을 사용하여 리소스에 접근하고, 사용자(Resource Owner)에게 서비스를 제공합니다.

📕 마무리

OAuth의 등장 배경부터 OAuth2.0의 개념, 흐름까지 알아봤습니다.

SNS 로그인이 필수인 시대여서 OAuth2.0을 통한 개발을 하기 위해선 개념 숙지가 필수가 된 것 같네요.

 

도움이 되었으면 좋겠습니다.

 

혹시 틀린 내용이나 보충해야 할 내용이 있다면 알려주세요 :)

 

참고 문헌:

https://hudi.blog/oauth-2.0/

https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-OAuth-20-%EA%B0%9C%EB%85%90-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC

https://blog.naver.com/mds_datasecurity/222182943542