I. 서비스 인증과 권한부여, OAuth 2.0의 개요
가. OAuth 2.0의 정의
- Access Token을 통해 3rd party 리소스에 대한 제한적 접근 권한 및 인증을 위한 범용적인 인증 표준
- 3rd Party 리소스의 소유자인 서비스 이용자를 대신하여 서비스를 요청할 수 있도록 접근권한을 위임하는 프로토콜
- Access Token을 이용한 인증, RFC 6749, 6750
II. OAuth 2.0의 프로토콜 흐름 및 권한승인 과정
가. OAuth 2.0의 프로토콜 흐름
 |
나. OAuth 2.0의 권한승인 과정
|
단계 |
활동상세 |
설명 |
|
1 |
권한요청 |
- 클라이언트는 자원 소유자에게 접근 권한 요청 |
|
2 |
권한승인 |
- 클라이언트에게 자원에 대한 접근 권한을 승인 |
|
3 |
Access Token 요청 |
- 클라이언트가 권한 서버에게 접근 토큰을 요청 |
|
4 |
Access Token 발급 |
- 권한 검증 및 Access Token 발급 - 토큰 유효기간 만료 시 refresh token 추가 발급 |
|
5 |
보호된 자원요청 |
- Access Token으로 자원 서버에게 인증 및 자원요청 |
|
6 |
요청에 대한 서비스 제공 |
- Access Token 검증 및 서비스 |
III. OAuth 1.0에서 OAuth 2.0의 변화
가. 용어변경 : Resource Owner/ Server, Authorization Sever, Client
나. 직관적, 단순화 : 1.0의 Signature 생성 및 호출 제거
다. 다양한 인증지원 : 1.0의 HMAC외 다양한 인증 지원
라. 대형 서비스 지원 : 인증서버 분리 및 다중화
'IT기술노트 > 디지털보안' 카테고리의 다른 글
| 평판기반 탐지보안 (0) | 2021.02.26 |
|---|---|
| 행위기반 탐지보안 (0) | 2021.02.26 |
| DNSSEC(DNS Security Extensions) (0) | 2021.02.26 |
| 샌드박스(Sandbox) (0) | 2021.02.26 |
| Diffie-Hellman (0) | 2021.02.26 |
| 양자암호(Quantum Cryptography) (0) | 2021.02.26 |
| 양자정보통신의 양자특성 (0) | 2021.02.26 |
| LEA(Lightweight Encryption Algorithm) (0) | 2021.02.26 |
댓글