OAuth에 대해서 간단히 설명해주세요.

[helenason]

OAuth는 제 3의 서버를 통해 사용자를 인증하는 방식입니다. 카카오, 구글, 애플 등 타사 플랫폼의 접근 권한을 위임받아 원하는 사용자 정보를 얻을 수 있습니다. 민감정보를 입력할 때 사용자의 입장에서는 서버를 100% 신뢰할 수 없습니다. 따라서 신뢰도가 보장된 제 3의 서버를 도입하여 사용자의 입장에서는 신뢰도를 보장하고, 서비스의 입장에서는 추가 인증 로직을 구현하기 위한 리소스를 줄일 수 있습니다.

실제로 카카오의 OAuth 인증 방식을 서비스에 도입한 경험이 있습니다. 추가 로그인 API 없이 카카오를 통해 사용자 정보를 얻을 수 있었고, 서비스 내에서 사용자 정보를 추가로 관리하지 않아도 된다는 점이 큰 장점으로 다가왔습니다.

[OAuth는 인증이 아닌 인가를 돕는 프로토콜이다]

---

OAuth는 카카오, 네이버와 같은 플랫폼의 특정 사용자 데이터에 접근하기 위해, 제3자 서비스가 접근 권한을 위임받는 표준 프로토콜입니다. 즉, 우리 서비스가 특정 사용자의 외부 서비스 정보를 안전하게 가져올 수 있도록 돕는 표준 기술입니다.

실제로 카카오 소셜 로그인을 구현하기 위해 OAuth를 서비스에 도입한 경험이 있습니다. 이를 통해 추가 회원가입 없이 사용자 정보에 접근할 수 있었고, 서비스 내에서 사용자 정보를 추가로 관리하지 않아도 된다는 점이 큰 장점으로 다가왔습니다.

[ehtjsv2]

OAuth1.0과 2.0의 차이점은 무엇이 있죠?

[helenason]

OAuth1.0에서 안전하지 않은 사례를 보완하고 조금 더 단순화한 버전이 OAuth2.0입니다.

OAuth1.0은 모든 요청에 서명을 필요로 해 복잡하지만 자체적으로 무결성을 보장했습니다. 반면 OAuth2.0은 HTTPS를 기반으로 보안을 유지하고, 서명 없이 다양한 방식으로 권한을 부여할 수 있어 더욱 단순하고 유연해졌습니다.

더불어 만료 기한이 없던 access token에 만료 기한을 도입해 보안성을 더욱 강화하기도 하였습니다.

[Libienz]

OAuth 인증의 흐름을 간단히 설명해주세요

[helenason]

대표적인 흐름 authorization code grant 방식의 크게 네가지 흐름으로 설명드리고 싶습니다.

먼저, 사용자가 로그인을 요청하면 사용자의 브라우저를 로그인 페이지로 이동시켜 사용자 본인임을 인증하게 합니다.
둘째, 인증이 성공되었다면 인가 서버는 인가 코드와 함께 redirect uri로 사용자를 이동시킵니다.
셋째, 인가 서버에 인가 코드를 전달하여 access token을 응답 받습니다. -- 여기서 정보 접근 권한 획득!
마지막으로, 인가 서버로부터 발급받은 access token을 기반으로 리소스 서버에서 특정 scope의 사용자 정보를 제공받을 수 있습니다.

[ay-eonii]

oauth가 CSRF 공격을 방지하는 방법에 대해 설명해주세요

[helenason]

먼저, CSRF 공격은 클라이언트단 취약점 중 하나로, 사용자의 로그인 세션을 악용하여 사용자가 의도하지 않은 요청을 특정 사이트로 보내는 공격입니다. 즉, 사용자의 권한을 악용해서 몰래 요청을 보내는 공격 기법입니다.

OAuth를 도입했을 때 위 공격을 방지하기 위해서는 state 파라미터를 도입할 수 있습니다. 인가 코드를 요청할 때 서비스에서 무작위 값의 state 필드를 함께 전송하고, 인가 코드를 응답하는 인가 서버에서는 요청받은 state 파라미터를 그대로 담아 반환합니다. 응답을 받은 클라이언트는 state 파라미터를 확인하여 악의적인 요청이 아닌지를 판단할 수 있게 됩니다.

[ay-eonii]

OAuth 인증 과정에서 프론트와 백엔드의 역할을 설명해주시고 그렇게 분담한 이유를 설명해주세요

[helenason]

저희 서비스는 OAuth에 필요한 정보를 한 곳에서 관리하자는 판단에 최대한 모든 로직을 백엔드에서 수행하도록 하였고, 사용자에게 로그인 페이지를 띄우거나 사용자를 리다이렉트시키거나, 인가서버로부터 받은 URL에서 인가 코드를 추출하는 작업만 프론트엔드에서 수행하도록 하였습니다.

---

(부연 설명)

로그인 페이지로 이동하기 위한 URL 생성, 인가 코드를 통해 access token 발급, 그리고 사용자 정보 접근 과정을 백엔드가 담당하였으며, 서버로부터 전달받은 로그인 페이지를 사용자의 브라우저에 띄우고 로그인 성공 시 리다이렉트시키고 인가 코드를 추출하는 과정을 프론트엔드가 담당하였습니다.

client id, redirect uri, scope과 같은 oauth에 필요한 정보를 한곳에서 관리하기 위해 벡엔드에게 관련된 모든 책임을 부여하였고, 사용자의 브라우저를 이동시켜야 하는 리다이렉트의 경우에만 프론트엔드에게 책임을 부여하였습니다.