`OAuth2`란?

개념

OAuth(Open Authorization) : 인터넷 사용자들이 비밀번호를 제공하지 않고, 다른 웹사이트 상의 자신들의 정보에 대해 어플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로써 사용되는 위임 권한부여를 위한 표준 프로토콜이다.

<aside> 💡 OAuth2는 OAuth의 알려진 보안 문제 등을 개선한 버전임

</aside>

주요 용어

이름	설명
Authentication	(인증) 접근 자격이 있는지 검증하는 단계
Authorization	(인가) 자원에 접근할 권한을 부여하는 것이며, 인가가 완료되면 리소스 접근 권한이 담긴 Access Token이 클라이언트에게 부여
Access Token	리소스 서버에게서 리소스 소유자의 보호된 자원을 획득할 때 사용하는 토큰
Refresh Token	Access Token만료 시 이를 갱신하기 위한 용도로 사용하는 토큰

구성

이름	설명
Resource Owner	웹 서비스를 이용하려는 유저, 자원(개인정보)을 소유하는 자, 사용자
Client	자사 또는 개인이 만든 애플리케이션 서버
Resource Server	사용자의 개인정보를 가지고있는 애플리케이션 (Google, Facebook, Kakao 등) 회사 서버

Client는 Token을 이 서버로 넘겨 개인정보를 응답 받을 수 있음 | | Authorization Server | 권한을 부여(인증에 사용할 아이템을 제공주는)해주는 서버
사용자는 이 서버로 ID, PW를 넘겨 Authorization Code를 발급 받을 수 있음
Client는 이 서버로 Authorization Code을 넘겨 Token을 받급 받을 수 있음 |

인증 방식

Authorization Code Grant(권한 부여 코드 승인 방식) : OAuth2에서 가장 기본이 되는 방식이며, SNS 로그인 기능에서 사용되는 방식

<Authorization Code Grant 플로우>
1. 접근 권한 요청 시, response_type=code로 요청하게 되면 클라이언트는 Authorization Server에서 제공하는 로그인 페이지 이동
2. 로그인 시, Authorization Server는 접근 권한 요청시에 받은 redirect_url로 Authorization Code를 전달
3. Client에서 전달받은 Authorization Code로 Access Token요청
4. Client에서 전달받은 Access Token으로 Resource Server에 자원 요청
이외에도 다른 방식이 존재하지만 여기서 설명하지 않겠다.
- Implicit Grant : 암묵적 승인 방식
- Client Credentials Grant : 클라이언트 자격 증명 방식
- Resource Owner Password Credentials Grant : 자원 소유자 자격 증명 방식
[참고] : https://wildeveloperetrain.tistory.com/247

`Spring Security` 원리

`DelegatingProxyChain`

<의 역할>

<DelegatingFilterProxy의 역할>

서블릿 필터는 서블릿 컨테이너에서 관리되어 스프링 빈을 사용할 수 없다.