[컴] OAuth

OAuth 인증 / OAuth 란? / OAuth 가 뭐지? / open api 인증방식


ref.1 에서 twitter 의 OAuth 를 예로 들면서 잘 설명해 주고 있다. 일단 ref. 1 에서 이해한 내용을 나름대로 정리해 본다. ref.1 의 그림을 참고하자. 설명을 잘 해주고 있다.


OAuth


OAuth 의 장점은 아마도 user 의 password 와 application 이 service 에 접속할 때 사용하는 password 를 분리시키는 것 같다.(token 이 정확한 용어지만, 여기서는 이해를 위해 password 라고 하자.)

ref. 1 에서 이야기 하듯이 기존의 인증은 application 을 통해 service 에 접속하는 형식이어서, application 에 password 를 입력하면, 이 application 이 그 password 를 가지고 service 에 접속하는 형식이었다. 그런데 OAuth 에서는 service 에서 application 이 사용할 password 를 하나 만들어 주는 방식을 택한다. 그리고 이 password 를 통해 application 은 특정 user 의 정보를 access 할 수 있다.

그래서 user 가 service 에 접속할 때 사용하는 password, 즉 user의 password 를 사용하지 않기 때문에 user 가 사용하는 password 가 노출된 위험이 적어진다.

그리고 service 가 application 이 사용할 password 를 만들어서 application 에게 주는 방식이므로, service 가 password 를 관리하게 된다.그렇기 때문에

  • user 는 service 에 접속해서 service 가 관리하는 password 를 확인할 수 있어서 어떤 application 에게 내 정보에 접속할 수 있는 password 를 만들어 줬는지도 알 수 있다.
  • 그리고 service 에서 password 를 없애버리면, application 이 더이상 그 password 를 사용할 수 없다. 그래서 user 입장에서는 자신의 password 를 굳이 변경하지 않고도 자신의 정보에 대한 접근을 통제할 수 있다.
  • 반대로, user 가 password 를 변경한다해도 application 이 user 의 정보에 접근하는 것에는 문제가 생기지 않는다.


References


  1. Twitter OAuth : https://davidlyness.com/post/twitter-oauth

댓글 없음:

댓글 쓰기