2021.4.21(wed)_OAuth

Authentication: 

누가 ‘누구’라고 했을 때 맞는지 확인하는 것, 내가 나인지 확인 

Confirms users are who they say they are

 

Authorization:

권한 부여

Gives users permission to access a resource

 

+--------+                               +---------------+
|        |--(A)- Authorization Request ->|   Resource    |
|        |                               |     Owner     |
|        |<-(B)-- Authorization Grant ---|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(C)-- Authorization Grant -->| Authorization |
| Client |                               |     Server    |
|        |<-(D)----- Access Token -------|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(E)----- Access Token ------>|    Resource   |
|        |                               |     Server    |
|        |<-(F)--- Protected Resource ---|               |
+--------+                               +---------------+

            Figure 1: Abstract Protocol Flow

 - Resource Owner: 일반 사용자

 - Client: 서비스 제공자

 - Authorization Server : ex) 깃헙 인증 서버 (루카스 로그인, 유저 인정)

 - Resource Server : ex) 깃헙 데이터 서버 (루카스에서 브랜치 생성, 권한 부여)

 

Access Token을 Authorizaton Server에서 주고, Client Server에 저장

Resource Server에 Access Token을 주고 리소스를 받음

 

액세스 토큰을 받는 건 한 번, 클라이언트 서버에 저장해놓고

리소스서버에 여러 번 리소스를 요청하고 받을 수 있다.

 

10분마다 액세스 토큰이 만료되기 때문에 리프레쉬토큰 사용

리프레쉬토큰 유효기간은 서비스마다 다름(클라이언트가 정하는지 인증서버가 정하는지 모르겠음)

리프레쉬토큰 유효기간이 끝나면 사용자에게 다시 로그인하라고 요청이 옴

 

Application탭에 bearer => jwt.io에서 디코드 가능

 

방법 중 Authorization Code는 서버가 있을 때만 가능