구글, 페이스북, 네이버 등의 계정으로 다른 웹사이트에 로그인한 경험이 있으신가요? 그 편리한 기능의 핵심이 바로 OAuth 2.0이라는 인증 프로토콜입니다.
이 글에서는 OAuth 2.0의 기본 개념부터 동작 원리, 주요 용어, 보안 이슈까지 체계적으로 정리하여 웹 개발자 및 기술 종사자들이 꼭 알아야 할 인증 흐름의 전반을 이해할 수 있도록 돕습니다.
1. OAuth 2.0이란?
OAuth 2.0은 사용자 비밀번호를 공유하지 않고도 제3의 애플리케이션이 특정 자원에 접근할 수 있도록 허용하는 권한 위임 프로토콜입니다.
기본 목적은 보안성과 편의성 확보이며, 주로 소셜 로그인, 오픈 API 접근 제어 등에 사용됩니다.
2. 왜 OAuth 2.0이 필요한가?
- 사용자 비밀번호를 제3자와 직접 공유하는 방식은 보안상 위험
- 서비스 간 연동 필요성 증가 → 토큰 기반의 인증 필요
- 권한 세분화 가능 (예: 사진만 접근 허용, 결제는 불가 등)
3. OAuth 2.0의 핵심 용어
| 용어 | 설명 |
|---|---|
| Resource Owner | 서비스의 실제 사용자 (예: 당신) |
| Client | 접근을 요청하는 애플리케이션 (예: 앱, 웹사이트) |
| Authorization Server | 인증 및 토큰 발급을 담당 (예: Google OAuth 서버) |
| Resource Server | API 등을 통해 자원을 제공하는 서버 |
| Access Token | API 접근 권한을 갖는 인증 토큰 |
| Refresh Token | Access Token이 만료됐을 때 새로운 토큰을 요청하는 데 사용 |
4. OAuth 2.0 인증 흐름
- 사용자가 Client 앱에서 "Google로 로그인" 버튼 클릭
- Client는 Authorization Server로 인증 요청
- 사용자가 Google 로그인 후 권한 동의
- Authorization Server는 Access Token 발급
- Client는 해당 토큰으로 Resource Server에 API 요청
📌 시각적 흐름 요약:
User → Client App → Authorization Server → Resource Server
↓ 로그인 요청 ↓ 토큰 발급 ↓ API 요청
5. OAuth 인증 방식 종류 (Grant Types)
| Grant Type | 용도 | 설명 |
|---|---|---|
| Authorization Code | 웹 애플리케이션 | 가장 보안성이 높음. 코드를 통해 토큰 발급 |
| Implicit | 클라이언트 측 앱 | 빠른 토큰 전달. 현재는 보안상 비추천 |
| Resource Owner Password | 신뢰된 앱 | 사용자의 ID/PW 직접 입력 필요 |
| Client Credentials | 서버 간 통신 | 사용자 없이 서비스 간 인증 처리 |
6. Access Token vs Refresh Token
- Access Token: API 요청 시 사용하는 짧은 수명의 인증 토큰
- Refresh Token: Access Token 만료 시 새로운 토큰을 요청할 수 있음
이 구조는 보안성과 사용자 경험을 모두 확보하기 위한 방식입니다.
7. OAuth의 보안 고려사항
- HTTPS 사용 필수 – 민감 정보 전송 보호
- Access Token 노출 금지 – 클라이언트 저장소에 저장하지 말 것
- Redirect URI 고정 – 공격자가 인증 응답을 가로채는 것을 방지
- Scope 제한 설정 – 필요한 권한만 요청하도록 설정
8. 실제 적용 예시
- 구글 소셜 로그인: Gmail 계정으로 외부 앱 로그인
- 카카오/네이버 로그인: 국내 웹 서비스 간 사용자 인증 연동
- Slack API 연동: 팀 외부 애플리케이션이 메시지 전송 권한 획득
결론
OAuth 2.0은 현대적인 애플리케이션에서 인증과 권한 관리를 위한 표준 기술입니다. 보안을 유지하면서도 사용자 경험을 개선할 수 있는 강력한 방식으로, 2025년 현재 다양한 웹/모바일 서비스에서 널리 사용되고 있습니다.
OAuth의 흐름과 역할을 정확히 이해하고, 안전하게 구현하는 것이 개발자에게 중요한 역량이 됩니다.
#OAuth2 #인증방식 #AccessToken #RefreshToken #소셜로그인 #보안흐름