출처: https://datatracker.ietf.org/doc/html/rfc6749

• OAuth 2.0 연습하는 곳

  https://www.oauth.com/playground/

• 자료

  • https://www.youtube.com/watch?v=hm2r6LtUbk8&list=PLuHgQVnccGMA4guyznDlykFJh28_R08Q-&pp=iAQB

• 영어 버전

  OAuth2.pdf

• 구글 번역기 버전 - 한국어

  OAuth2.pdf

1. OAuth란?

OAuth2.0은 사용자 자격 증명(id, pw)을 공유하지 않고, 애플리케이션이 제한된 접근 권한으로 리소스 서버에 접근할 수 있도록 하는 권한 부여 프로토콜이다.

OAuth 2.0은 제3자 애플리케이션이 HTTP 서비스에 대한 제한적인 접근 권한을 얻을 수 있도록 하는 인증 프레임워크입니다.

이는 리소스 소유자를 대신하여 리소스 소유자와 HTTP 서비스 간의 승인 상호 작용을 조율하거나, 제3자 애플리케이션이 자체적으로 접근 권한을 얻을 수 있도록 함으로써 가능합니다.

OAuth 2.0은 기존 클라이언트-서버 인증 모델의 여러 문제점들을 해결하기 위해 만들어졌습니다.

1-1. 이전 문제점

• 제3자 애플리케이션이 리소스 소유자의 자격 증명(일반적으로 일반 텍스트 암호)을 저장해야 했습니다.
• 서버는 암호 인증의 보안 취약점에도 불구하고 암호 인증을 지원해야 했습니다.
• 제3자 애플리케이션은 리소스 소유자의 보호된 리소스에 대한 광범위한 접근 권한을 얻었으며, 리소스 소유자는 기간이나 특정 리소스에 대한 접근을 제한할 수 없었습니다.
• 리소스 소유자는 모든 제3자에 대한 접근 권한을 취소하지 않고는 개별 제3자에 대한 접근 권한을 취소할 수 없었으며, 제3자의 암호를 변경해야만 했습니다.
• 제3자 애플리케이션의 손상은 최종 사용자의 암호와 해당 암호로 보호되는 모든 데이터의 손상으로 이어졌습니다.

1-2. 그래서 어떻게 해결할까?