hwanguu

OIDC Scope

hwanguu — Fri, 17 Jan 2025 00:16:53 +0900

Scope

Scope	설명
openid	필수, 클라이언트가 OpenID Connect 요청을 하고 있음을 인증 서버에 알린다
profile	기본 프로필 클레임에 대한 액세스 요청
email	이메일 및 email_verified 클레임에 대한 액세스 요청
address	주소 클레임에 대한 액세스 요청
phone	phone_number 및 phone_number_verified 클레임에 대한 액세스 요청

Scope 는 위의 스코프 이외에 Custom 으로도 생성할 수 있다.

Request URL

localhost:8080/realms/oauth2/protocol/openid-connect/auth?
response_type=code
&client_id=oauth2-client-app
&scope=openid profile email
&redirect_uri=http://localhost:8081

Response

{
    "access_token": "...",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "...",
    "token_type": "Bearer",
    "id_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.eyJleHAiOjE3MzcwNDA2MzMsImlhdCI6MTczNzA0MDMzMywiYXV0aF90aW1lIjoxNzM3MDQwMzIxLCJqdGkiOiI4NjhiY2IyZC00YTJlLTRkYjQtOWJkMy01YjJjNTZkM2M5YzQiLCJpc3MiOiJodHRwOi8vbG9jYWxob3N0OjgwODAvcmVhbG1zL29hdXRoMiIsImF1ZCI6Im9hdXRoMi1jbGllbnQtYXBwIiwic3ViIjoiYjdiZjc5OTgtNWM5OC00ODZiLTk3YmItYjgzMDM3NDBkZGI3IiwidHlwIjoiSUQiLCJhenAiOiJvYXV0aDItY2xpZW50LWFwcCIsInNlc3Npb25fc3RhdGUiOiJkMjAwNTY4Ni01ZTJiLTRhMWMtYmUwZi02YTk4NGQxZWM4YWYiLCJhdF9oYXNoIjoiVjN1U1RPSWVEeko0ZWRvYWlWTU5aUSIsImFjciI6IjEiLCJzaWQiOiJkMjAwNTY4Ni01ZTJiLTRhMWMtYmUwZi02YTk4NGQxZWM4YWYiLCJlbWFpbF92ZXJpZmllZCI6ZmFsc2UsIm5hbWUiOiJjaG9pIHNlaHdhbiIsInByZWZlcnJlZF91c2VybmFtZSI6InVzZXIiLCJnaXZlbl9uYW1lIjoiY2hvaSIsImZhbWlseV9uYW1lIjoic2Vod2FuIiwiZW1haWwiOiJ1c2VyQG5hdmVyLmNvbSJ9.nfs5J4zu7ntb6Hc0nZCswiCuj7h17jwem9OUWwDSsjQoRMKDsgfY52TIfSH4p-_4t2O0gGZno0IeafohJscBbxMiU09mfCZvIyOKWvhCzYs4P0svZeE10B-DPC1X96-U6R9B0TJ_oHdaDkxb2L4pfRiiSje8Xdo6kyvYufKXb595nCxbuIIuVJc8VtWowPzlX5HahIXfdDiZWMrE6PftgvwXB09nwTHgZ5MRJbGv1uRiPdk36XskxNd_00fxUfc_UqW1T6J4NrIXifW1E37STvkZC7kpvglDq1h0NEVbeneKw7JDmoP3In-anDwvDYTqAznDrUZy_2DNBOkVh1MHHw",
    "not-before-policy": 0,
    "session_state": "d2005686-5e2b-4a1c-be0f-6a984d1ec8af",
    "scope": "openid email profile"
}

id_token을 디코딩하면 아래와 같다.

{
  "exp": 1737040633,
  "iat": 1737040333,
  "auth_time": 1737040321,
  "jti": "868bcb2d-4a2e-4db4-9bd3-5b2c56d3c9c4",
  "iss": "http://localhost:8080/realms/oauth2",
  "aud": "oauth2-client-app",
  "sub": "b7bf7998-5c98-486b-97bb-b8303740ddb7",
  "typ": "ID",
  "azp": "oauth2-client-app",
  "session_state": "d2005686-5e2b-4a1c-be0f-6a984d1ec8af",
  "at_hash": "V3uSTOIeDzJ4edoaiVMNZQ",
  "acr": "1",
  "sid": "d2005686-5e2b-4a1c-be0f-6a984d1ec8af",
  "email_verified": false,
  "name": "hong gil dong",
  "preferred_username": "user",
  "given_name": "hong",
  "family_name": "gil dong",
  "email": "user@naver.com"
}

Claim의 종류

Standard Claims

name
family_name
given_name
middle_name
nickname
preferred_username
profile
picture
website
gender
birthdate
zoneinfo
locale
updated_at

Address Claims

formatted
street_address
locality
region
postal_code
country

위의 Claim은 UserInfo를 구성한다.

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

ID Token

hwanguu — Fri, 17 Jan 2025 00:08:23 +0900

ID Token 이란

ID Token은 사용자가 인증 되었음을 증명하는 토큰이다.

ID 토큰은 사용자가 인증 되었음을 증명하는 결과물로서 OIDC 요청 시 access token 과 함께 클라이언트에게 전달되는 토큰이다
ID 토큰은 JWT(JSON 웹 토큰)으로 표현되며 헤더, 페이로드 및 서명으로 구성된다
ID 토큰은 개인 키로 발급자가 서명하는 것으로서 토큰의 출처를 보장하고 변조되지 않았음을 보장한다.
어플리케이션은 공개 키로 ID 토큰을 검증 및 유효성을 검사하고 만료여부 등 토큰의 클레임을 확인 한다
클라이언트는 클레임 정보에 포함되어 있는 사용자명, 이메일을 활용하여 인증 관리를 할 수 있다

ID Token vs Access Token

ID Token 은 OpenID Provider에서 사용자가 인증 되었을때 발급되며 클라이언트(서버)에서 사용자의 신원확인을 위해 사용되어져야 한다. API 호출에 사용하면 안된다.

Access Token 은 인증을 위해 사용되는 것이 아닌 Authorization Server 에서 발급 받은후 Resource Server에 접근하기

위해 사용되는 Token 이다

ID Token, Access Token 비교

구분	ID Token	Access Token
목적	사용자 인증 정보 제공	API 요청에 대한 권한 부여
발급 프로토콜	OpenID Connect	OAuth 2.0
주요 사용처	클라이언트 애플리케이션에서 신원 확인	리소스 서버(API)에 요청 인증
포맷	일반적으로 JWT	JWT 또는 기타 형식
수명	보통 짧음	보통 짧지만 Refresh Token으로 연장 가능

ID Token은 "이 사용자는 누구인가?"를 증명하는 데 사용되며

Access Token은 "이 사용자가 이 리소스에 접근할 수 있는 권한이 있는가?"를 확인하는 데 사용된다.

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Open ID Connect OIDC

hwanguu — Thu, 16 Jan 2025 00:13:39 +0900

개요 및 특징

OpenID Connect 1.0은 OAuth 2.0 프로토콜 위에 구축된 ID 계층으로 OAuth 2.0을 확장하여 인증 방식을 표준화 한 OAuth 2.0 기반의 인증 프로토콜이다
scope 지정 시 “openid” 를 포함하면 OpenID Connect 사용이 가능하며 인증에 대한 정보는 ID 토큰 (ID Token )이라고 하는 JSON 웹 토큰(JWT) 으로 반환된다
OpenID Connect는 클라이언트가 사용자 ID를 확인할 수 있게 하는 보안 토큰인 ID Token 제공한다

아래 사진과 같이 scope 에 openid를 넣어야 OIDC가 활성화 된다.

Authorization Code, Implicit, password Credentials, Client Credentials 전부 scope에 openid를 넣으면 된다.

Oauth 2.0, OIDC 비교

Oauth2.0

사용 목적 : Oauth2.0프로토콜은 권한(인가) 획득하기 위해서 사용한다.

예를들어서 네이버에서 페이스북, 인스타그램의 사진을 가지고오고 싶은경우 (가장 많이 사용하는 Authorization Code Flow로 설명)

네이버에 회원가입후 로그인을 한다.
네이버에서 제공하는 페이스북, 인스타그램의 사진 가져오기 기능을 사용한다
네이버에서는 페이스북, 인스타그램의 권한승인을 받는 페이지로 redirection 시킨다.
사용자가 페이스북, 인스타그램에서 자신의 데이터를 접근할수 있도록 허용한다.
페이스북, 인스타그램에서 사용자의 데이터에 접근할 수 있는 Access Token을 발급한다.
네이버는 발급받은 Access Token을 가지고 페이스북,인스타그램 API 를 호출하여 사진데이터를 가져온다.

핵심 개념

OAuth 2.0의 역할:
사용자(당신)의 민감한 로그인 정보(아이디/비밀번호)를 공유하지 않고도 naver.com이 페이스북, 인스타그램의 데이터를 가져올 수 있도록 안전한 방식으로 권한을 위임한다.
Access Token:
페이스북, 인스타그램이 발급하는 "권한 증명서"로, 이를 통해 naver.com은 정해진 범위 내에서만 사용자의 데이터를 가져올 수 있다.

OIDC

사용 목적 : OIDC는 인증을 위해서 사용한다.

예를들어서 네이버에서 구글, 카카오로 로그인하고 싶은경우(가장 많이 사용하는 Authorization Code Flow로 설명)

네이버에 접속후 구글, 카카오로 로그인 버튼 클릭
네이버는 구글, 카카오의 OIDC Authorization Endpoint로 Redirection 한다.
구글, 카카오의 로그인 화면에서 계정과 비밀번호를 입력 후 scope(email, 이름, 등등...)에 접근할 수 있도록 승인한다.
승인이 되면 Authorization Code를 발급하고 2번에서 Redirection 할때 파라미터로 넘긴 인증후 redirection URL로 redirection 시킨다.
네이버 서버에서는 4번에서 받은 Authorization Code를 가지고 구글, 카카오의 Token Endpoint에 요청을 보내서 AccessToken, ID Token을 발급 받는다.
네이버는 ID Token을 통해서 사용자의 정보를통해 네이버 계정을 생성하거나 세션을 생성한다.
이과정을 통해 변도의 회원가입 절차 없이 사용자를 인증한다.

AccessToken : 사용자의 구글,카카오 리소스에 접근하기 위한 토큰

ID Token : 사용자의 인증 정보가 포함된 JWT(위 과정중 3번 과정에 scope 에 명시한 데이터들이 들어있다)

OIDC를 사용해야하는 이유

"구글 로그인"과 같은 소셜 로그인을 구현할 때.
사용자의 인증을 간소화하고 중앙화된 인증 제공.
OAuth 2.0으로 부족했던 인증(Authentication) 문제를 해결.

OIDC vs OAuth2.0

OIDC는 주로 사용자 인증(로그인)에 초점을 맞춘 프로토콜
- 예: 구글 계정을 통해 네이버에 로그인.
OAuth 2.0은 권한 부여에 초점을 맞춘 프로토콜
- 예: 네이버가 페이스북에서 사용자의 사진 데이터를 가져오는 것.

OIDC의 장점

회원가입 없이 간편한 로그인:
사용자는 별도로 회원가입하지 않아도 구글 계정을 통해 네이버에 로그인할 수 있다.
ID Token을 통한 사용자 정보 제공:
ID Token에 사용자의 기본 정보(예: 이름, 이메일)가 포함되어 있어 추가적인 API 호출 없이 사용자 정보를 가져올 수 있다
표준 프로토콜 사용:
OIDC는 전 세계적으로 사용되는 표준 프로토콜로, 다양한 서비스 간 호환이 쉽다.

OpenID Connect Discovery 1.0 Provider Metadata

OpenID Connect 를 사용하기 위해 필요한 모든 엔드 포인트 및 공개 키 위치 정보를 포함 하여 OpenID 공급자의 구성에 대한 클레임 집합을 나타낸다.

검색 문서 경로 : ~/.well-known/openid-configuration

keycloak의 경우

http://localhost:8080/realms/렐름명/.well-known/openid-configuration

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 PKCE-enhanced Authorization Code Grant

hwanguu — Sun, 12 Jan 2025 23:13:16 +0900

PKCE(Proof Key for Code Exchange, RFC - 6749) 개요

코드 교환을 위한 증명 키로서 CSRF 및 권한부여코드 삽입 공격을 방지하기 위한 Authorization Code Grant Flow 의 확장버전이다.
권한부여코드 요청시 Code Verifier와 Code Challenge 를 추가하여 만약 Authorization Code Grant Flow 에서 Authrozization Code 가 탈취당했을 때 Access Token을 발급하지 못하도록 차단한다.
PKCE는 원래 모바일 앱에서 Authorization Code Grant Flow 를 보호하도록 설계되었으며 나중에 단일 페이지 앱에서도 사용하도록 권장되으며 모든 유형의OAuth2 클라이언트, 심지어 클라이언트 암호를 사용하는 웹 서버에서 실행되는 앱에도 유용하다.

코드 생성

1. Code Verifier
- ① 권한부여코드 요청 전에 앱이 원래 생성한 PKCE 요청에 대한 코드 검증기
- ② 48 ~ 128 글자수를 가진 무작위 문자열
- ③ A-Z a-z 0-9 -._~ 의 ASCII 문자들로만 구성됨
2. Code Challenge
- ① 선택한 Hash 알고리즘으로 Code Verifier를 Hashing 한 후 Base64 인코딩을 한 값
- ② ex) Base64Encode(Sha256(ASCII(Code Verifier)))
3. Code Challenge Method
- ① plain – Code Verifier 가 특정한 알고리즘을 사용하지 않도록 설정
- ② S256 – Code Verifier 해시 알고리즘 사용하도록 설정

처리 흐름

클라이언트는 code_verifier를 생성하고, code_challenge_method를 사용하여 code_challenge를 계산한다.
클라이언트가 /authorize에 대한 요청을 작성한다.
권한 서버가 /authorize에 대한 표준 OAuth2 요청 유효성 검증을 수행한다.
권한 서버가 code_challenge 및 code_challenge_method의 존재를 확인한다.
권한 서버가 권한 코드에 대해 code_challenge 및 code_challenge_method를 저장한다.
권한 서버가 권한 코드 응답을 리턴한다.
클라이언트가 추가 code_verifier를 포함해 권한 코드를 /token에 제공한다.
권한 서버가 /token에 대한 표준 OAuth2 요청 유효성 검증을 수행한다.
권한 서버가 제공된 code_verifier 및 저장된 code_challenge_method를 사용하여 고유 code_challenge를 생성한다.
권한 서버가 생성된 code_challenge를 /authorize에 대한 초기 요청에 제공된 값과 비교한다.
두 값이 일치하면 액세스 토큰이 발행되고 일치하지 않으면 요청이 거부된다.

code_challenge_method 검증

권한 부여 코드 흐름에 있어 인가서버는 code_verifier를 검증하기 위해 code_challenge_method 을 이미 알고 있어야 한다
토큰 교환시 code_challenge_method 가 plain 이면 인가서버는 전달된 code_verifier 와 보관하고 있는 code_challenge 문자열과 단순히 일치하는지 확인만 하면 된다
code_challenge_method 가 S256이면 인가서버는 전달된 code_verifier 를 가져와서 동일한 S256 해시 메소드를 사용하여 변환한 다음 보관된 code_challenge 문 자열과 비교해서 일치 여부를 판단한다

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

version: '3.9'services: postgres: image: postgres:latest container_name: postgres restart: always environment: POSTGRES_USER: keycloak POSTGRES_PASSWORD: keycloak POSTGRES_DB: keycloak ports: - "5432:5432" keycloak: image: quay.io/keycloak/keycloak:19.0.1

hwanguu.tistory.com

code_challenge_method : plain 방식

1. code_challenge 생성

https://tonyxu-io.github.io/pkce-generator/

Generate Code Verifier 클릭 후 Generate Code Challenge 클릭Code Challenge 를 복사한후 아래 url 중 code_challenge= 에 붙여넣는다.

localhost:8080/realms/oauth2/protocol/openid-connect/auth?response_type=code&client_id=oauth2-client-app&scope=profile email&redirect_uri=http://localhost:8081&code_challenge='여기'&code_challenge_method=plain

ex) localhost:8080/realms/oauth2/protocol/openid-connect/auth?response_type=code&client_id=oauth2-client-app&scope=profile email&redirect_uri=http://localhost:8081&code_challenge=-nwsnaOQV3nY8ikTvUSoB8Zm00Z-jfTE9w3bmoGeOqo&code_challenge_method=plain

2. 인증 서버 로그인

3. 로그인 성공시 return 값 확인

http://localhost:8081/?session_state=21b71827-9d9a-4390-93c8-050df234cc03&code=0ae64686-af05-49dc-b1bc-4f0e18367f1f.21b71827-9d9a-4390-93c8-050df234cc03.a86f1300-5de6-4970-b889-a72430531df5

4. code 값을 통해서 token 요청

Code Verifier 는 1번에서 생성된 Code Challenge 를 넣는다. (plain 이기때문에 Code Challenge와 Code Verifier가 같다)

5. return 값 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.ObuIvS3s33Q7Nffc2vs-Z2OgSHYdKcvjKGUV6KEdyouhCecNVzoI0OexuIjHKszmwj7mXMUogjY3aOduMg7HBo3cIQLmwoTzASXdGrGfODlIEmLYUr8emZc6RGO9MsXxBW9YhPlX7OBvGwTtj_Qwte1d-qPy3Q7H-bsK7mH0AEQa1vs9e4cYhGOiPQBkK9Tzh4dDSDDL98WzDs1sfjPYiBHSW9E1OQ3bQf1-M_4_yJSRikJUE0HLt9w-vg3cHyQkvvOshJ4Bd_aCecS_lzS6B8CtIIxTjE-jAfkNUEe44uA3WXOXo_HXPhCQZz2wSnbO6U6Fhl0d3BXD7bB4VJeU4w",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI4NWNmMTZkNS04OWY1LTQxY2EtOWQ4ZS1hMjZiODFiMGVmNjgifQ.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.LBwnKxOWjKNxgLsi7AbvkimhJUps4YP8fc5dyhJ5zs8",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "21b71827-9d9a-4390-93c8-050df234cc03",
    "scope": "email profile"
}

code_challenge_method : s256 방식

https://tonyxu-io.github.io/pkce-generator/

Generate Code Verifier 클릭 후 Generate Code Challenge 클릭

Code Challenge 를 복사한후 아래 url 중 code_challenge= 에 붙여넣는다.

ex) localhost:8080/realms/oauth2/protocol/openid-connect/auth?response_type=code&client_id=oauth2-client-app&scope=profile email&redirect_uri=http://localhost:8081&code_challenge=YoHoXkH143cNcFIqGhSr2mMpLEEbu_cxOmS_6zwGmKY&code_challenge_method=S256

2. 인증 서버 로그인

3. 로그인 성공시 return 값 확인

http://localhost:8081/?session_state=21b71827-9d9a-4390-93c8-050df234cc03&code=8e1fc7d7-6f05-4919-9223-123ed6ba5bac.21b71827-9d9a-4390-93c8-050df234cc03.a86f1300-5de6-4970-b889-a72430531df5

4. code 값을 통해서 token 요청

Code Verifier 는 1번에서 생성된 code_verifier를 넣는다.

5. return 값 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.M64EDsBoom-7jwbfduFdKBxSWtWLkM8bQk9L8kmuN1p-HLNNsPZX5FFatNenGDntUrHVRrUPKhKoaR3Epw8rKIdfIHS3jhSKD0mYE2OmSFSr9cLbAAkVgFPfdLbUzz83EeOb9u-U76fkxBW24RmBbrVN3-T21HZJTw_jhZUUker-cNbmZfocuB4MXykqgG50ZQXxzL8cY8p8usx7aSqCB6lgGicL4gTzknewuk_wnKir_m4n6jCmGz7WuEalhhwUiAv4pxZ_tTkdEpv7ibgQSC_-Ky0M8Ss3YVW3CGxy1KFvwHNtwPrSpOO2oEvju9-JcCKUVh6_1tMNlaXLTjxZ4g",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI4NWNmMTZkNS04OWY1LTQxY2EtOWQ4ZS1hMjZiODFiMGVmNjgifQ.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.SGVtJStd5d4Ak2_cDN1HIQ9o2X1fkVyRSN9SOvuYGCk",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "21b71827-9d9a-4390-93c8-050df234cc03",
    "scope": "email profile"
}

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 Refresh Token Grant

hwanguu — Sun, 12 Jan 2025 22:36:14 +0900

개요

1. 흐름 및 특징
- 액세스 토큰이 발급될 때 함께 제공되는 토큰으로서 액세스 토큰이 만료되더라도 함께 발급받았던 리프레시 토큰이 유효하다면, 인증 과정을 처음부터 반복하지 않아도 액세스 토큰을 재발급 받을수 있다.
- 한 번 사용된 리프레시 토큰은 폐기되거나 재사용 할 수 있다
2. 권한 부여 승인 요청 시 매개변수
- grant_type=refresh_token (필수)
- refresh_token
- client_id (필수)
- client_secret (필수)

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu.tistory.com

1. Authorization Grant, Password Grant 실행후 refresh_token을 받는다. 아래 링크 확인

- https://hwanguu.tistory.com/70

Oauth2 Authorization Code Grant

개요 1. 흐름 및 특징1) 사용자가 애플리케이션을 승인하면 인가서버는 Redirect URI 로 임시 코드 담아서 애플리케이션으로 다시 리다이렉션한다2) 애플리케이션은 해당 임시 코드를 인가서버로

hwanguu.tistory.com

- https://hwanguu.tistory.com/73

Oauth2 Password Grant

개요1. 흐름 및 특징애플리케이션이 사용자 이름과 암호를 액세스 토큰으로 교환할 때 사용된다.타사 어플리케이션이 이 권한을 사용하도록 허용해서는 안되고 고도의 신뢰할 자사 어플리케이

hwanguu.tistory.com

2. refresh_token을 통해서 API 요청

3. return 값 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.Arl4E3WcfwikwC_xn5W6oXvKYnoI_kvRFqmpI93UkMdB_vDluos5VEA6RRofxjXpeT7cChVPHr-6MD_Z6_X6eLY1UaiJWqCaZrKUGfMLy9cRQ4BpCWJnxpVjbC76O5-0U8xDucUzQxdzxS5LSmIPrg-ojDsmB0BMkPVQDaYkW7oS6AGbCSQ11n6RlpYuQEH2WeTBIoSGREahMVqyBElzB4s1hypcPPtNzGrIThpGqIV4W_jWdUHb_KzRsKRNeNkAD7C561jsntMHp88WIsqv2QsvHPrK60wWriBPEwJWLU7-AlkeHu3G8ytZnI1IvgzK-qz3xb7PAEPSC772_sPJSg",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI4NWNmMTZkNS04OWY1LTQxY2EtOWQ4ZS1hMjZiODFiMGVmNjgifQ.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.kiH6Ik6xTPnDtmvAGYTZwn5nRp2l6W7k4FObFNmWmX8",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "f9e9bb48-d403-4732-ba7b-7742121dd333",
    "scope": "email profile"
}

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 Client Credentials Grant

hwanguu — Sun, 12 Jan 2025 22:30:41 +0900

개요

1. 흐름 및 특징
- 애플리케이션이 리소스 소유자인 동시에 클라이언트의 역할을 한다
- 리소스 소유자에게 권한 위임 받아 리소스에 접근하는 것이 아니라 자기 자신이 애플리케이션을 사용할 목적으로 사용하는 것
- 서버 대 서버간의 통신에서 사용할 수 있으며 IOT 와 같은 장비 어플리케이션과의 통신을 위한 인증으로도 사용할 수 있다.
- Client Id 와 Client Secret 을 통해 액세스 토큰을 바로 발급 받을 수 있기 때문에 Refresh Token 을 제공하지 않는다
- Client 정보를 기반으로 하기 때문에 사용자 정보를 제공하지 않는다.
2. 권한 부여 승인 요청 시 매개변수
- grant_type=client_credentials (필수)
- client_id (필수)
- client_secret (필수)
- scope (선택사항)

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu.tistory.com

1. 인증 서버 API 호출

2. return 값 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.RYnPt8QPMLX1cjFeHzXkXLH0ZYYBrSt4DaWluTPfZCagafhYAkP_kTTcAjgfc5lDHRjm6jt0GsHZHr0K_z7jN3r4_uvwoLnCSAFvp5dLbXuZAGMcG3wa8nURBElM-_b99Fx-YWYwcE4nMEzrcN-SIkxArz4BPW71qjTlihbNyzCsgoNKVLsjX6yTkCRDmsU-BHfWroSLaCGT5UE3vPsnNHrUOCIy7bOooG-KB71l4NHSV_wvI6oBeW-rbENtIMc8kLlk15VU2QFS5iA9fbSh8be-ckfL2u6gesaJ4W-TBDle7ydMSH3nuplUT065oTMnJbTBN1gT50VZpZqaZfpKYw",
    "expires_in": 300,
    "refresh_expires_in": 0,
    "token_type": "Bearer",
    "not-before-policy": 0,
    "scope": "email profile"
}

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 Password Grant

hwanguu — Sun, 12 Jan 2025 22:26:14 +0900

개요

1. 흐름 및 특징
- 애플리케이션이 사용자 이름과 암호를 액세스 토큰으로 교환할 때 사용된다.
- 타사 어플리케이션이 이 권한을 사용하도록 허용해서는 안되고 고도의 신뢰할 자사 어플리케이션에서만 사용해야 한다. (어플리케이션이 사용자의 ID, PW를 알수있기 때문에 신뢰할수 있는 어플리케이션에 사용해야함)
- ID, PW를 어플리케이션이 인가서버로 보내야 하기 때문에 Back Channel 에서 사용해야한다.
2. 권한 부여 승인 요청 시 매개변수
- grant_type=password (필수)
- username (필수)
- password (필수)
- client_id (필수)
- client_secret (필수)
- scope (선택사항)

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu.tistory.com

1. 인증 서버 API 호출

2. return 값 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.dKXHs3hNUPR_JgX4XYTEde3MHdjht8A4D3StlKLUGvNq_embsGFKBaT2YhT16I5m5qmR4-FZadAbsNP1RETu-g27mZrdOHRyrHs5JPlomikwlLADLTUv10M2miluWmEQbTne3ReYdSPKmeU6d450PXC7cY5-6SwV794sIkG90m6i7V1wFucVdm8YEyOl2PRDlNgfqBIw50UcDgEtlg9jOfhs5SRmAtOeIfmYmFKXYoyfN1M-TiCm-Vm_6XP38uVdjQmDRPNj_x6osc0fv88gHOtdoXYzub4JD57xzIQ1Mlp-ftP8ut8QUYULh5oBjbKjxGz7cyTKo75ShTh8liDh8g",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI4NWNmMTZkNS04OWY1LTQxY2EtOWQ4ZS1hMjZiODFiMGVmNjgifQ.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.T62gCwem9Hb7W4zhRfF-c6ss6S8jyccJamT7tRBTWoI",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "f9e9bb48-d403-4732-ba7b-7742121dd333",
    "scope": "email profile"
}

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 Implicit Grant

hwanguu — Sun, 12 Jan 2025 22:19:45 +0900

개요

1. 흐름 및 특징
- 클라이언트에서 Javascript 및 HTML 소스 코드를 다운로드한 후 브라우저는 서비스에 직접 API 요청을 한다
- 코드 교환 단계를 건너뛰고 대신 액세스 토큰이 쿼리 문자열 조각으로 클라이언트에 즉시 반환됩니다.
- 이 유형은 back channel 이 없으므로 refresh token 을 사용하지 못한다.
- 토큰 만료 시 어플리케이션이 새로운 access token을 얻으려면 다시 OAuth 승인 과정을 거쳐야 한다
2. 권한 부여 승인 요청 시 매개변수
- response_type=token (필수), id_token
- client_id (필수)
- redirect_uri (필수)
- scope (선택사항)
- state (선택사항)

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu.tistory.com

url :

localhost:8080/realms/oauth2/protocol/openid-connect/auth?response_type=token&client_id=oauth2-client-app&scope=profile email&redirect_uri=http://localhost:8081

1. 인증 서버 로그인

2. 로그인 성공시 return 값 확인

http://localhost:8081/#session_state=b38f19ec-9200-4743-ad46-86aef56cbd68&access_token=eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.uXeewCZwE4DLMatLm3z4KfPUvOyDlX2OGWmHsugns8kOe-FgZKxC1-AykZad57ZkxPf9c215DON-0rUuQhC_uV9-0TPg5IYhzaDHSfNC2xTlXPdPZmvZHq78K1EW-I9vo-zWuPENBpwTWz2TInO49vnSYCtGwkoPao6zzmrUYf5tO5yIEOcDg9HFPI-edCglZimCRMfWkec0HYOdPdH-GyRpRz3JFQL9j1rPa8DKoLzneU5PAFK9ipV_jFliNnIuQf8XjpWhpwqwSYm6FoGzx3rvW8XyVdVqchf9KzeZcU8uxR3x-olEfiCczrnWG486dF_9sxUjkIYcLcT9TRLFHA&token_type=Bearer&expires_in=900

return 값으로 access_token이 바로 반환된다.

refresh_token은 없다. access_token 만료시 다시 implicit 인증을 해야한다.

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu — Sun, 12 Jan 2025 21:54:13 +0900

version: '3.9'

services:
  postgres:
    image: postgres:latest
    container_name: postgres
    restart: always
    environment:
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: keycloak
      POSTGRES_DB: keycloak
    ports:
      - "5432:5432"

  keycloak:
    image: quay.io/keycloak/keycloak:19.0.1
    container_name: keycloak
    restart: always
    environment:
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin
      KC_DB: postgres
      KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: keycloak
    ports:
      - "8080:8080"
    depends_on:
      - postgres
    command: start-dev

keycloak admin ID PW : admin

url : localhost:8080

1. 어드민 콘솔 진입

2. 로그인

ID : admin

PW : admin

3. 렐름 생성

4. client id 생성

5. client id secret_key 확인

6. user 등록

7. 생성한 유저로 로그인

http://localhost:8080/realms/oauth2/account/#/

OpenID Connect 를 사용하기 위해 필요한 모든 엔드 포인트 및 공개 키 위치 정보

OIDC

http://localhost:8080/realms/'렐름명'/.well-known/openid-configuration

ex) http://localhost:8080/realms/oauth2/.well-known/openid-configuration

SAML

http://localhost:8080/realms/'렐름명'/protocol/saml/descriptor

ex) http://localhost:8080/realms/oauth2/protocol/saml/descriptor

Oauth2 Authorization Code Grant

hwanguu — Sun, 12 Jan 2025 20:50:35 +0900

개요

1. 흐름 및 특징
- 1) 사용자가 애플리케이션을 승인하면 인가서버는 Redirect URI 로 임시 코드 담아서 애플리케이션으로 다시 리다이렉션한다
- 2) 애플리케이션은 해당 임시 코드를 인가서버로 전달하고 액세스 토큰으로 교환한다
- 3) 애플리케이션이 액세스 토큰을 요청할 때 해당 요청을 클라이언트 암호로 인증할 수 있으므로 공격자가 인증 코드를 가로채서 스스로 사용할 위험이 줄어듬
- 4) 액세스 토큰이 사용자 또는 브라우저에 표시되지 않고 애플리케이션에 다시 전달하는 가장 안전한 방법이므로 토큰이 다른 사람에게 누출될 위험이 줄어듬
2. 권한부여코드 요청 시 매개변수
- uri : /realms/'realm 명'/protocol/openid-connect/auth GET (keycloak 기준)
- response_type=code (필수)
- client_id (필수)
- redirect_uri (선택사항)
- scope (선택사항)
- state (선택사항)

3. 액세스토큰 교환 요청 시 매개변수
- grant_type=authorization_code (필수)
- code (필수)
- redirect_uri (필수 : 2. 에서 redirect_uri 을 보낸경우경우)
- client_id (필수)
- client_secret (필수)

흐름

실습

기본세팅 : https://hwanguu.tistory.com/71

Oauth2 Keycloak Docker compose, 기본세팅

hwanguu.tistory.com

url : localhost:8080/realms/oauth2/protocol/openid-connect/auth?response_type=code&client_id=oauth2-client-app&scope=profile email&redirect_uri=http://localhost:8081

1. 인증 서버 로그인

2. 로그인 성공시 return 값 확인

http://localhost:8081/?session_state=785dbead-0011-4939-9219-806e49651453&code=9d77339d-60f7-4630-828e-65838ca30293.785dbead-0011-4939-9219-806e49651453.a86f1300-5de6-4970-b889-a72430531df5

1번에서 파라미터로 보냈던 redirect_url 로 code가 담겨져서 온다.

3. code를 이용하여 token 요청

* 주의사항 *

2번에서 받았던 code 2번에서 보냈던 redirect_url은 그대로 넣어서 요청한다.
code를 발급후 token 발급할 때 expiredTime이 짧기 때문에 바로 요청을 해야한다.
그리고 code는 재사용 할 수 없다. 1번만 사용가능

4. 결과 확인

{
    "access_token": "eyJhbGciOiJSUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICJqOXYyeTNJN0RzTy02aFhqanFGUi1YSURWd2RvWUwyemRfVjN3c05EREFZIn0.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.LRmQZEM82DIWPRKvdWLZNPyj7Je_AYlEEmkPJF4M9RADzWh7hd8lMoQg-HRl6o1QI6oUPXRFOEpXTgIeqxCKQ1ExVKshbFZ0a3Fqh5kMkbZwsqnFzlJJqJdkV7-_yI2gGBlMgJ4LaMt5mr5umQf20itHdFGpgSRqrJ54pNcVDmQhpfSi_GF7p-_Wq_tZ5z0816DPq-uLc3A6xS0nrqTU6VmoQQd9MXHGgz_-3FzHcNlcr3AIABO5Yrh3jETtHFX1vG5Qai8AokEOQGj3zd8wj9TZhEK95T1uiGVdPXMi2GuHiCGJUHPa9wqQOnfm582QjmPyJcF5neBatZxMx2p65Q",
    "expires_in": 300,
    "refresh_expires_in": 1800,
    "refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCIgOiAiSldUIiwia2lkIiA6ICI4NWNmMTZkNS04OWY1LTQxY2EtOWQ4ZS1hMjZiODFiMGVmNjgifQ.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.8hbCJ4SAyiXadsnru8RU6zPzDR8ZYkNEz_PT5rf1Q1w",
    "token_type": "Bearer",
    "not-before-policy": 0,
    "session_state": "785dbead-0011-4939-9219-806e49651453",
    "scope": "email profile"
}

위와같이 access_token, refresh_token이 응답으로 온다.

만일 2번에서 token 전송시 expiredTime 이 초과 되었거나, code를 2번사용한경우 아래와 같은 에러가 발생한다.

References 및 사진 출처

정수원 스프링 시큐리티 OAuth2