본문 바로가기

사전 › Security

Security#Security#Auth

OAuth란?

사용자의 비밀번호를 공유하지 않고 제3자에게 제한된 권한을 위임하는 표준 프로토콜.

OAuth란?

사용자가 비밀번호를 직접 주지 않고 제3자 앱에 "내 Google 프로필만 읽게 허용" 같은 제한된 권한을 위임하는 프로토콜이다.

주요 Flow

Authorization Code — 서버 앱 표준
Authorization Code + PKCE — 모바일·SPA 권장
Client Credentials — 머신 간 인증

주의

Implicit Flow는 더 이상 권장 안 됨
Refresh token은 서버에 안전 보관
Redirect URI 화이트리스트 엄격 관리

관련 기술노트

BackendOAuth 2.0 PKCE — SPA에서 안전한 인증 구현

BackendOAuth 2.0 완벽 이해 — Authorization Code Flow 구현

BackendOAuth 2.0 완벽 이해 — Authorization Code Flow 실전 구현

함께 보면 좋은 용어

CSRF로그인된 사용자의 권한을 악용해 의도치 않은 요청을 보내게 하는 공격.CVE공개된 보안 취약점에 부여되는 고유 식별자. CVE-연도-번호 형식.SQL Injection사용자 입력을 조작해 의도하지 않은 SQL을 실행시키는 공격. Prepared Statement로 방어.XSS악성 스크립트를 웹 페이지에 주입해 다른 사용자 브라우저에서 실행시키는 공격.

← 전체 사전으로