<aside> 💡 서비스의 인증 및 권한부여를 관리하는 범용적인 프로토콜

</aside>

OAuth는 인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준이다.

OAuth의 참여자

OAuth 동작에 관여하는 참여자는 크게 네 가지로 구분

• Authorization Server : 권한을 관리하는 서버입니다. Access Token, Refresh Token을 발급, 재발급 해주는 역할
• Resource Server: 클라이언트가 제어하고자 하는 자원을 보유하고 있는 서버 (ex. Facebook, Google, Naver 등)
• Resource Owner: 자원의 소유자 (일반 사용자)
  • 클라이언트가 제공하는 서비스를 통해 로그인하는 실제 유저가 이에 속한다.
• Client: Resource Server에 접속해서 정보를 가져오고자 하는 클라이언트(웹 애플리케이션)

동작 순서

한 가지 명심해야할 점은, 우리가 배웠던 (사용자 <-> 어플리케이션 서버) 인증 절차였던 세션/쿠키, 토큰 기반 인증 방식을 완전히 대체하는게 아니라는 점입니다. 즉 SNS 로그인 기능을 넣더라도 결국은 세션/쿠키 방식이나 토큰을 활용해 인증을 거쳐야 합니다.