OAuth 2.0

OAuth 2.0

제3자 애플리케이션이 사용자의 비밀번호 없이 사용자 자원에 대한 제한된 접근 권한을 위임받을 수 있는 개방형 표준 인가 프레임워크(RFC 6749)

특징: 권한 위임(비밀번호 공유 불필요), 토큰 기반 접근, 범위(Scope)로 권한 제한

구성요소: Resource Owner(사용자): 자원 소유자, Client(앱): 접근 요청 애플리케이션, Authorization Server(인가 서버): 토큰 발급, Resource Server(API): 보호된 자원

기술요소: Authorization Code(웹/가장 안전/서버사이드), Client Credentials(서버 간/사용자 없음), PKCE(Proof Key for Code Exchange): 모바일/SPA 코드 탈취 방지, Implicit(제거 예정/보안 취약)

토큰: Access Token(단기/자원 접근용), Refresh Token(장기/Access Token 갱신용)

적용사례: 소셜 로그인(Google/Facebook), API 접근 권한 위임, 앱 연동

비교: OAuth 2.0(인가만/권한 위임) vs OIDC(OAuth+인증/ID Token) vs OAuth 2.1(보안 강화/PKCE 필수/Implicit 제거)

연관: SSO, OIDC, API 보안, JWT, PKCE