보안&인증
-
OAuth2.0 와 JWT보안&인증 2021. 10. 3. 23:37
1.OAuth2.0 외부 서비스 인증 및 권한부여를 관리하는 프레임워크 플랫폼간의 권한을 공유할 수 있다. 예를 들어, 구글에 로그인페이지를 요청하고 그것을 사용자에게 제공하는 방식 (이 때, 구글은 사용자에게 바로 access token을 주는게 아니라, 권한 증서authorization code 같은것을 발급해준다) 그리고 서버는 받은 권한증서로 구글에게 액세스 토큰을 요청하고 받아온 후, 다시 사용자에게 전달한다. (사실 이 시점에서 서버는 액세스토큰보다 만료시간이 긴 리프레시 토큰을 갖고 있다) 다시, 사용자의 액세스 토큰이 만료되는 경우, 이 리프레시 토큰을 이용해서 구글에 새로운 액세스 토큰을 요청해 발급해 줄 수 있다. 리프레시 토큰에 대해서는 필요한가 불필요한가에 대한 의견들이 각각 있지만..