`OAuth2`란?

개념

OAuth(Open Authorization) : 인터넷 사용자들이 비밀번호를 제공하지 않고, 다른 웹사이트 상의 자신들의 정보에 대해 어플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로써 사용되는 위임 권한부여를 위한 표준 프로토콜이다.

<aside> 💡 OAuth2는 OAuth의 알려진 보안 문제 등을 개선한 버전임

</aside>

주요 용어

이름	설명
Authentication	(인증) 접근 자격이 있는지 검증하는 단계
Authorization	(인가) 자원에 접근할 권한을 부여하는 것이며, 인가가 완료되면 리소스 접근 권한이 담긴 `Access Token`이 클라이언트에게 부여
Access Token	리소스 서버에게서 리소스 소유자의 보호된 자원을 획득할 때 사용하는 토큰
Refresh Token	`Access Token`만료 시 이를 갱신하기 위한 용도로 사용하는 토큰

구성

이름	설명
Resource Owner	웹 서비스를 이용하려는 유저, 자원(개인정보)을 소유하는 자, 사용자
Client	자사 또는 개인이 만든 애플리케이션 서버
Resource Server	사용자의 개인정보를 가지고있는 애플리케이션 (Google, Facebook, Kakao 등) 회사 서버

Client는 Token을 이 서버로 넘겨 개인정보를 응답 받을 수 있음 | | Authorization Server | 권한을 부여(인증에 사용할 아이템을 제공주는)해주는 서버
사용자는 이 서버로 ID, PW를 넘겨 Authorization Code를 발급 받을 수 있음
Client는 이 서버로 Authorization Code을 넘겨 Token을 받급 받을 수 있음 |

인증 방식

Authorization Code Grant(권한 부여 코드 승인 방식) : OAuth2에서 가장 기본이 되는 방식이며, SNS 로그인 기능에서 사용되는 방식

<Authorization Code Grant 플로우>
1. 접근 권한 요청 시, response_type=code로 요청하게 되면 클라이언트는 Authorization Server에서 제공하는 로그인 페이지 이동
2. 로그인 시, Authorization Server는 접근 권한 요청시에 받은 redirect_url로 Authorization Code를 전달
3. Client에서 전달받은 Authorization Code로 Access Token요청
4. Client에서 전달받은 Access Token으로 Resource Server에 자원 요청
이외에도 다른 방식이 존재하지만 여기서 설명하지 않겠다.
- Implicit Grant : 암묵적 승인 방식
- Client Credentials Grant : 클라이언트 자격 증명 방식
- Resource Owner Password Credentials Grant : 자원 소유자 자격 증명 방식
[참고] : https://wildeveloperetrain.tistory.com/247

`Spring Security` 원리

`DelegatingProxyChain`

<의 역할>

<DelegatingFilterProxy의 역할>

서블릿 필터는 서블릿 컨테이너에서 관리되어 스프링 빈을 사용할 수 없다.