OAuth2.0을 이용한 로그인(인증)에 대한 이해

OAuth란? 

다양한 플랫폼(Google, Facebook, Naver...)의 특정 사용자 데이터에 접근하기 위해 제 3자의 클라이언트가 사용자의 접근 권한을 위임 받을 수 있는 표준 프로토콜을 말한다.

OAuth의 탄생 

OAuth가 존재하기 전에는 인증 방식의 표준이 없었기에 기본인증인 아이디와 비밀번호를 사용하였는데 이는 굉장히 보안상 치명적인 구조이다. 만약 악의적인 사용자가 인증 과정 중에 아이디와 비밀번호를 탈취하게 된다면 해당 플랫폼에 존재하는 사용자의 모든 정보들이 가져갈 수 있기 때문이다. 즉, 사용자의 계정 정보만 탈취하면 플랫폼에 존재하는 모든 서비스에 대한 접근 권한을 얻을 수 있다는 의미이다. 또 보통 사용자들은 플랫폼들 마다 다른 계정 정보를 사용하는 것보다는 동일 계정 정보를 사용하는 경우가 많기 때문에 피해가 끝없이 퍼질수도 있다. 

 

이러한 위험성 때문에 주요 플랫폼들은 각자 직접 개발한 인증 프로토콜을 채택하였는데 대표적으로 구글의 AuthSub, AOL의 OpenAuth, 야후의 BBAuth, 아마존의 웹서비스 API 등이 있다. 하지만 이렇게 되면 여러 플랫폼에 존재하는 서비스의 접근 권한을 부여받기 위해서는 여러 종류의 인증 프로토콜에 대해 모두 대응해야 하는 문제점을 가지고 있었다. 

 

이러한 이유로 탄생한 것이 OAuth이다. 여러 종류가 존재했던 인증 프로토콜들을 표준화한 인증프로토콜이며 이 인증을 활용하는 플랫폼들의 서비스로 접근하기 위해서는 단 OAuth에 대해서만 대응을 진행하면 되기 때문에 클라이언트 입장에서는 여러모로 효율적인 인증 프로토콜이라고 할 수 있다. 

OAuth2.0의 인증 FLOW

Resource Server가 Resource Owner를 인증하는 화면

1. Resource Server에서 Client를 식별하기 위해 Client-id, Client-Secret을 넘겨준다. (Google 같은 경우는 Google Cloud Platform에서 직접 발급 받는다) 
2. 만약 특정 기능에 인증이 필요하다면 Resource Owner를 인증하기 위한 로그인 링크로 리다이렉트 된다.  
3. Resource Owner가 정상적으로 로그인을 했다면, Resource Server는 요청 URL과 이미 Client가 등록했던 redirect_uri와 동일한지 확인한다.
4. 일치하는 경우 Resource Server는 Resource Owner에게 Client가 요구하는 정보 리스트를 보여주며 승인 여부를 확인한다. 
5. Resource Owner가 성공적으로 로그인 하게 되면 Resource Server가 Client에게 Code(임시 PW)를 redirect_uri로 응답한다.
6. Client는 code값과 client-id, client-secret 정보를 담아서 Resource Server에게 전달한다. 
7. Resource Server는 Client에게 발급한 code값과 client-id, client-secret를 이용해서 그 Client가 맞는지 검증한다.
8. 만약 맞다면 Access token과 Refresh token의 정보를 Client에게 redirect_uri로 응답한다.
9. Client는 Access token 정보를 각자의 방법으로 보관하며 이 token을 이용하여 Resource Server에게 데이터를 요청한다.
10. Resource Server는 token을 보고 자신이 발급했던 token 값이라면 데이터를 전달한다.

참고) OAuth는 단순히 '자체적인 인증을 통해 Resource Owner의 데이터를 넘겨주는 부분'만 다루며, Client 서버에서의 인증과 인가는 Client에서 직접 구현해야 한다. 

 

*code : Resource Server에서 리다이렉션 URL로 바로 Resource Owner의 정보를 전달하는 것은 보안상 취약하므로 하나의 단계를 더 추가하기 위해 사용되는 매개변수이다. Client는 code, client-id, client-secret, redirect_uri 를 포함하여 다시 Resource Server에게 요청한다. 

*scope : 권한의 범위 (예를 들어 calender의 list를 가져오기) 
*Refresh token : 처음으로 Access token을 발급받으면 Refresh token을 딱 한번 발행한다. Refresh token은 access token을 재 발급 받을 때 사용한다.

보통은 위의 과정을 쉽게 구현할 수 있는 sdk를 제공한다. 

 

나만의 옷장 프로젝트에서의 OAuth2.0

나만의 옷장 프로젝트는 OAuth2.0 Google login을 통해 유저 정보를 가져와 Spring Security를 통해 인증 처리를 하고 있다. 그런데 확실한 이해를 하지 않고 넘어가려니 답답한 감이 없지 않아 있어 소스를 살짝 파헤쳐 보았다. 

 

public final class ClientRegistration implements Serializable {
	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
	private String registrationId;
	private String clientId;
	private String clientSecret;
	private ClientAuthenticationMethod clientAuthenticationMethod = ClientAuthenticationMethod.BASIC;
	private AuthorizationGrantType authorizationGrantType;
	private String redirectUriTemplate;
	private Set<String> scopes = Collections.emptySet();
	private ProviderDetails providerDetails = new ProviderDetails();
	private String clientName;

Resource Server와 통신하기 위한 Client와 관련된 필드를 가지고 있다. (client-id, client-secret, refistrationId) 

 

public class OAuth2UserRequest {
	private final ClientRegistration clientRegistration;
	private final OAuth2AccessToken accessToken;
	private final Map<String, Object> additionalParameters;

	public OAuth2UserRequest(ClientRegistration clientRegistration, OAuth2AccessToken accessToken) {
		this(clientRegistration, accessToken, Collections.emptyMap());
	}

	public OAuth2UserRequest(ClientRegistration clientRegistration, OAuth2AccessToken accessToken,
								Map<String, Object> additionalParameters) {
		Assert.notNull(clientRegistration, "clientRegistration cannot be null");
		Assert.notNull(accessToken, "accessToken cannot be null");
		this.clientRegistration = clientRegistration;
		this.accessToken = accessToken;
		this.additionalParameters = Collections.unmodifiableMap(
				CollectionUtils.isEmpty(additionalParameters) ?
				Collections.emptyMap() : new LinkedHashMap<>(additionalParameters));
	}

	public ClientRegistration getClientRegistration() {
		return this.clientRegistration;
	}

	public OAuth2AccessToken getAccessToken() {
		return this.accessToken;
	}

	public Map<String, Object> getAdditionalParameters() {
		return this.additionalParameters;
	}
}

Resource Server에게 요청하기 위한 모든 필드를 가지고 있다.  (access-token, client-id, client-secret) 

 

        log.info(userRequest.getAccessToken().getTokenValue());

token을 출력해보면 동일한 사용자가 로그인할 때마다 새로운 Access-token으로 갱신하여 정보를 가져온다. Access Token이 만료될 때마다 Refresh Token을 통해 Access Token을 재발급 받는 것이 더 효율적이지 않을까? 이 부분은 어떻게 동작하는지 좀 더 알아봐야겠다. 

 

public class CustomOAuth2MemberService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {

    private final MemberRepository memberRepository;
    private final HttpSession httpSession;

    /**
     * Google 로그인을 통해 유저 정보를 가져온다.
     * @param userRequest
     * @return
     * @throws OAuth2AuthenticationException
     */
    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
        OAuth2UserService<OAuth2UserRequest, OAuth2User> delegate = new DefaultOAuth2UserService();
        OAuth2User oAuth2User = delegate.loadUser(userRequest);

        String registrationId = userRequest.getClientRegistration().getRegistrationId(); // 로그인 서비스 코드 구분 (후에 네이버, 카카오 로그인 서비스 추가 대비)
        String userNameAttributeName = userRequest
                .getClientRegistration().getProviderDetails()
                .getUserInfoEndpoint().getUserNameAttributeName(); // OAuth2 로그인 진행 시 키가 되는 필드 값, 네이버 로그인/ 구글 로그인 동시 지원 시 사용됨

        OAuthAttributes attributes = OAuthAttributes.of(registrationId, userNameAttributeName, oAuth2User.getAttributes()); //OAuth2User의 attribute를 담는 DTO

        Member member = saveOrUpdate(attributes);
        httpSession.setAttribute("user", new SessionMember(member)); // 세션 DTO

        return new DefaultOAuth2User(
                Collections.singleton(new SimpleGrantedAuthority(member.getRoleKey())),
                attributes.getAttributes(),
                attributes.getNameAttributeKey());
    }

    /**
     * Member 영속성을 활용한 저장 및 수정
     * 구글 Picture나 이름이 변경되었을 수도 있으니 바로 바로 적용하도록 한다.
     * orElse : null이던 말던 항상 호출
     * orElseGet : null일 때만 호출
     * @param attributes
     * @return Member 객체
     */
    private Member saveOrUpdate(OAuthAttributes attributes) {
        Member member = memberRepository.findByEmail(attributes.getEmail())
                .map(entity -> entity.change(attributes.getName(), attributes.getPicture()))
                .orElse(attributes.toEntity());

        return memberRepository.save(member);
    }
}

 

Resource Server로 부터 사용자 정보(oAuth2User)를 받아와 사용자 정보를 담고 있는 객체 attributes를 생성한 후에 attributes 객체를 이용하여 서버 내의 데이터베이스에 사용자 정보를 최신화한 후 Session 저장소에 저장한다. 

 

Reference

https://velog.io/@piecemaker/OAuth2-%EC%9D%B8%EC%A6%9D-%EB%B0%A9%EC%8B%9D%EC%97%90-%EB%8C%80%ED%95%B4-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90

OAuth2 인증 방식에 대해 알아보자.