# OAuth

## 개요

**OAuth**(Open Authorization)는 사용자 인증과 권한 부여를 분리하여, 제3자 애플리케이션이 사용자의 자원에 접근할 수 있도록 허용하는 **오픈 스탠더드 인증 프로토콜**입니다. 사용자가 자신의 계정 정보(예: 아이디와 비밀번호)를 제3자에게 직접 제공하지 않고도, 특정 서비스에 대한 제한된 접근 권한을 부여할 수 있도록 설계되었습니다. 이는 사용자 개인정보 보호와 보안 강화 측면에서 매우 중요한 역할을 합니다.

OAuth는 주로 웹 및 모바일 애플리케이션에서 소셜 로그인(예: "구글로 로그인", "페이스북으로 로그인"), API 접근 권한 부여 등에 널리 사용됩니다. 현재 가장 널리 채택되고 있는 버전은 **OAuth 2.0**이며, 이전 버전인 OAuth 1.0은 보안 및 구현 복잡성 문제로 대부분 대체되었습니다.

---

## OAuth의 주요 개념

### 1. 등장 배경

전통적인 인증 방식에서는 사용자가 제3자 애플리케이션에 자신의 아이디와 비밀번호를 직접 입력해야 했습니다. 이는 보안상 큰 위험을 초래하며, 비밀번호 유출 시 다른 서비스까지 피해를 입을 수 있었습니다. OAuth는 이러한 문제를 해결하기 위해 개발되었으며, **"자원 소유자(사용자)"가 "클라이언트 앱"에게 "리소스 서버"의 자원에 접근할 수 있는 권한을 위임**하는 구조를 제공합니다.

### 2. 주요 구성 요소

OAuth 2.0은 다음과 같은 네 가지 주요 역할을 정의합니다:

| 구성 요소 | 설명 |
|----------|------|
| **Resource Owner** | 자원의 소유자. 일반적으로 사용자를 의미합니다. |
| **Client** | 사용자의 자원에 접근하고자 하는 애플리케이션(예: 모바일 앱, 웹 서비스). |
| **Authorization Server** | 사용자 인증과 토큰 발급을 담당하는 서버. |
| **Resource Server** | 사용자의 자원(예: 프로필 정보, 사진, 이메일 등)을 보유하고 있는 서버. |

---

## OAuth 2.0의 작동 흐름

OAuth 2.0은 여러 **권한 부여 유형**(Grant Type)을 제공하며, 사용 사례에 따라 적절한 방식을 선택할 수 있습니다. 가장 일반적인 방식은 **인가 코드 흐름**(Authorization Code Flow)입니다.

### 1. 인가 코드 흐름 (Authorization Code Flow)

이 방식은 웹 애플리케이션에서 가장 안전하게 사용되는 흐름입니다.

1. 사용자가 클라이언트 앱에서 "구글 계정으로 로그인" 버튼 클릭.
2. 클라이언트는 사용자를 **인가 서버**(예: Google OAuth 서버)로 리디렉션.
3. 사용자가 인가 서버에서 로그인하고 접근 권한을 허용.
4. 인가 서버가 클라이언트에게 **인가 코드**(Authorization Code)를 리디렉션 응답으로 전달.
5. 클라이언트는 이 인가 코드를 사용해 인가 서버에 **액세스 토큰**(Access Token)을 요청.
6. 인가 서버는 클라이언트의 신원을 검증한 후 액세스 토큰을 발급.
7. 클라이언트는 이 토큰을 사용해 리소스 서버에서 사용자 데이터를 요청.

이 방식은 인가 코드가 단일 사용이며, 액세스 토큰이 직접 브라우저를 통해 노출되지 않아 보안성이 높습니다.

### 2. 기타 권한 부여 유형

- **임시 자격 증명 흐름**(Implicit Flow): 주로 단일 페이지 애플리케이션(SPA)에서 사용되나, 보안상 권장되지 않음.
- **클라이언트 자격 증명 흐름**(Client Credentials Flow): 서버 간 통신 시 사용. 사용자 없이 클라이언트 자체가 권한을 얻음.
- **리소스 소유자 자격 증명 흐름**(Resource Owner Password Credentials Flow): 사용자의 아이디/비밀번호를 직접 사용. 신뢰할 수 있는 클라이언트에 한해 제한적으로 사용.
- **디바이스 코드 흐름**(Device Code Flow): 스마트 TV, IoT 기기 등 입력이 어려운 기기에서 사용.

---

## 보안 고려사항

OAuth 2.0은 강력한 보안 프레임워크이지만, 잘못 구현될 경우 다음과 같은 위험이 발생할 수 있습니다:

- **토큰 유출**: 액세스 토큰이 HTTPS 없이 전송되거나, 클라이언트에 안전하지 않게 저장될 경우.
- **CSRF 공격**: 인가 요청 시 CSRF 토큰 미사용으로 인한 인가 요청 위조.
- **리디렉션 URI 조작**: 잘못된 리디렉션 URI를 등록하여 토큰을 탈취하려는 시도.

이를 방지하기 위해 다음과 같은 보안 조치가 필요합니다:

- **PKCE**(Proof Key for Code Exchange): 공개 클라이언트(예: 모바일 앱)에서 인가 코드 재생 공격을 방지.
- **HTTPS 필수 사용**: 모든 통신은 암호화되어야 함.
- **짧은 유효기간의 토큰 사용**: 액세스 토큰은 짧은 시간(예: 1시간)만 유효하도록 설정.
- **리프레시 토큰 관리**: 리프레시 토큰은 안전하게 저장하고, 필요 시 폐기 가능하도록 설계.

---

## OAuth 2.0과 OpenID Connect

OAuth 2.0은 본질적으로 **권한 부여 프로토콜**이지, **인증 프로토콜**이 아닙니다. 사용자 인증이 필요한 경우, OAuth 위에 구축된 **OpenID Connect**(OIDC)를 사용합니다. OIDC는 ID 토큰(JWT 형식)을 추가하여 사용자 인증을 가능하게 하며, "소셜 로그인" 기능의 핵심 기술입니다.

---

## 결론

OAuth 2.0은 현대 웹 및 모바일 애플리케이션에서 필수적인 인증 및 권한 부여 프로토콜로 자리 잡았습니다. 사용자 경험을 향상시키면서도 보안을 유지할 수 있는 균형 잡힌 솔루션을 제공하며, 다양한 서비스 간의 통합을 가능하게 합니다. 그러나 그만큼 올바른 구현과 지속적인 보안 관리가 요구되므로, 개발자와 보안 담당자는 표준 가이드라인을 철저히 준수해야 합니다.

---

## 참고 자료

- [RFC 6749 - The OAuth 2.0 Authorization Framework](https://tools.ietf.org/html/rfc6749)
- [OAuth.net 공식 사이트](https://oauth.net/2/)
- [OpenID Connect 공식 사이트](https://openid.net/connect/)
- Google, Microsoft, GitHub 등 주요 서비스 제공업체의 OAuth 2.0 문서