OAuth 2.0

I. 3rd Party 범용 인증 표준, OAuth 2.0의 개요

가. OAuth 2.0의 개념

  • 외부 서비스(3rd Party)에서 Access Token 기반 제한된 자원 접근 및 인증을 위한 범용 인증 표준

나. OAuth 1.0a 대비 개선점

개선점내용
간단한 개발/문서화– 토큰 인증 방식, – 직관적 문서화
많은 인증방법– 시나리오 별 다양한 인증 방식
대형 서비스 확장성– 인증서버 분리와 다중화

 

II. OAuth 2.0 인증 절차 및 구성요소

가. OAuth 2.0 인증 절차

  • 권한 획득 후 access token 기반 자원 제한적 접근

나. OAuth 2.0 구성요소

구성요소역할설명
resource owner최종사용자– 자원 접근 권한 부여 개체
resource serverAPI 서버– 보호자원 호스팅, 서비스API 제공
client3rd party App– access token으로 인증 가능 App
authorization server인증 서버– access token 발급(권한 부여)
access token자원 접근 권한– ID/PW 대체, 만료시간

 

III. OAuth 2.0 보안 취약점 및 보완 방안

취약점보완 방안
– CSRF token누락 시 계정 탈취
– redirect_uri 검증 미흡 시 계정 탈취
– 인증 관련 모든 구간 SSL/TLS 적용
– API 호출 시 Access List 적용
– Redirect URI 검증
– scope 활용 필요 권한만 제공

 

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^