전체 글

OAuth 2.0 + JWT Token

OAuth란 무엇일까? 비밀번호를 제공하지 않고 타사의 사이트 혹은 애플리케이션의 접근 권한을 부여하는 수단 접근 위임을 위한 개방형 표준 프로토콜 OAuth의 성장과정 OAtuh 1.0에서 토큰 승인 과정에서 세션 고정 공격이라는 보안 결함이 발견 세션을 주입할 코드를 설치 후 유도하여 인증을 통과한 유효 세션을 탈취하는 방법 OAuth1.0의 보안 문제 등을 개선한 버전으로 OAuth 2.0 탄생 (하위 호환성 미지원) OAuth 1.0 -> 2.0 API 요청 시 클라이언트 인증 방법 변경 : 서명 → HTTPS 의무화 Refresh Token 도입을 통한 접근 토큰(Access Token) 유효기간(Life-time) 설정으로 인한 단축 → 보안성 개선 기존 서비스 제공자를 자원 서버, 권한 서버..