인증과 인가

인증과 인가

인증 (Authentication)

보호된 리소스에 접근하는 것을 허용하기 이전에 등록된 유저의 신원을 입증하는 과정

 

인가(Authorization)

요청된 리소스에 접근할 수있는 권한이 인증된 유저인지 입증하는 과줭

 

인증 -> 인가(권한이 있는 인증 된 유저)

 

인증되었지만 권한이 없다 -> 인가 X

인가되었지만 인증은 되지 않았다 -> 불가 X

 

웹에서의 인증/인가

- 요청 헤더

 

- 세션, 쿠키

 

- 토큰

 

- OAuth

다른 웹사이트 상의 자신들의 정보에 대해 접근 권한을 부여 할수 있는 공통적인 수단 개방형 표준 

 

OAuth 인증 과정

OAuth로 API 이용 과정 

 

Authorization Code Grant

클라이언트가 다른 사용자 대신 특정 리소스에 접근을 요청할 때 사용 

 

OAuth(1.0 -> 2.0) 

인증 절차 간소화

기능 단순화 및 규모 확장성 지원을 위해 (디지털 서명기반 암호화 -> HTTPS 암호화에 맡김)

용어 변경

다양한 인증 방식 제공 

Authorization Code Grant,

Implicit Grant,

Resource Owner Password Credentials Grant,

Client Credentials Grant,

Device Code Grantm,

Refresh Token Grant

 

OAuth 장점

사용자 : 서비에 ID/PW를 알려주지 않아도 됨, 원할때 액세스 토큰의 권환 취소가 가능

서비스 : 유저의 액세스 토큰만 가지고 있으면 됨, 사용자의 ID/PW를 몰라도 허가 받은 API 접근 가능 

 

인가

접근할수 있는 권한이 있는 인증된 유저인지 입증

 

인가 정책

none - 미인증

user - 인증됨

manger - 관리자 

 

인가 처리

프론트 엔트

route 이동 시

렌더링 시 

 

www.youtube.com/watch?v=JZgD8aPkHSc&list=PLgXGHBqgT2TvpJ_p9L_yZKPifgdBOzdVH&index=87&t=135s