[Spring Boot] 차근차근 OAuth 2.0 구현하기 - (1) 개념 정리

🧐 oAuth란?

나의 서비스가 있을 때

사용자로부터 Google, Github, Kakao 등의 ID와 Password를 받아

Google, Github, Kakao의 서비스를 이용할 수 있다.

 

하지만 이렇게 하면 사용자의 아이디와 비밀번호가 유출되는 각 종 보안사고가 날 것이다.

또한 위 사이트들도 믿고 맡기지 못할 것이다.

 

이때 oAuth 2.0를 이용해 Resource Server(Google, Github, Kakao)를 안전하게 사용할 수 있게 할 수 있다.

💡 How?

Id와 Password 대신에 AccessToken을 사용할 수 있다.

if) 내 서비스가 Resource Server(Google, Github, Kakao)의 정보를 이용하고 싶다면?

• Authorization Server에 사용할 것이라 요청을 한다.

• Authorization Server에서 ClientId와 Client Secret값을 발급해준다.

• 내 서비스는 이 2개를 저장한다. (Client Secret 값은 __절대__ 노출되면 안 된다.)

• 사용자가 내 서비스를 이용하려 하기 위해 로그인을 하면 Authorization Server에 접근이 된다.

• Authorization Server는 사용자에게 내 서비스를 이용할 것인가 물어본다.

• 사용자가 동의하면 Authorization Server는 내 서비스에 정보(CODE)를 준다.

• 내 서비스는 그 코드값과 보관 중인 Id와 Secret을 담아 Authorization Server에 다시 보낸다.

• 그 후 Authorization Server는 이를 비교해 검증한다.

• 검증 결과 모두 유효하다면 내 서비스에게 __AccessToken__을 발급해준다.

  내 서비스는 이제 AccessToken을 사용해 Resource Server에 접근 가능할 수 있다.

 

Spring boot로 구글, 페이스북, 카카오, 네이버의 Oauth 2 인증 서버와 연동할 Client Server를 만들어보자.