영상 후기 - [10분 테코톡] 🤠루피의 인증과 인가

 

인증(Authentication)

• 보호된 리소스에 접근하는 것을 허용하기 이전에 등록된 유저의 신원을 입증하는 과정

 

인가(Authorization)

• 요청된 리소스에 접근할 수 있는 권한이 있는 인증(authenticated)된 유저인지 입증하는 과정

 

인증 -> 인가

 

 

웹에서의 인증 / 인가

1. 요청 헤더
2. 세션, 쿠키
3. 토큰(feat. JWT)
4. OAuth

OAuth란?

• 다른 웹사이트 상의 자신들의 정보에 대해 접근 권한을 부여할 수 있는 공통적인 수단 - 개방형 표준
• 구글 로그인, 페이스북 로그인 등 로그인하는 자체가 OAuth가 아니라, 구글 로그인, 페이스북 로그인 등을 사용하는 인증절차를 OAuth라고 한다.

 

OAuth 인증절차

1. 유저가 내가 운영하는 서비스에서 카톡 로그인 버튼을 누르면 OAuth 제공자에게 카톡 로그인 페이지를 요청하게 된다.
2. 그러면 OAuth제공자는 유저에게 카톡 아이디가 있냐고 물어본다.
3. 유저는 OAuth 제공자에게 아이디가 있다고 전달을 해준다.
4. OAuth 제공자는 유저에게 어떤 코드를 반환해준다.
5. 유저는 그 코드로 서비스(내가 운영하는 서비스)에게 보내고, 서비스는 유저가 준 코드를 통해 OAuth 제공자에게 액세스 토큰을 달라고 요청한다.
6. OAuth 제공자는 액세스 토큰을 서비스에게 준다.

 

OAuth1.0에서 OAuth2.0으로 바뀐점

• 인증 절차 간소화
• 용어 변경
• 다양한 인증 방식 제공

 

OAuth 장점

(사용자)

• 사용자는 인증을 요청하는 서비스의 ID/PW를 알려주지 않아도 됨.
• 사용자가 원할 때 원할 때 액세스 토큰의 권한 취소가 가능.

(서비스)

• 유저의 액세스 토큰만 가지고 있으면 됨
• 사용자의 ID/PW를 몰라도 허가 받은 API 접근 가능