OAuth

OAuth는 OpenAPI로 개발된 표준 인증 방식으로, 각종 애플리케이션에서 사용자 인증을 거칠때 활용될 수 있다.

Categories

• Nango - 40+개 API용 OAuth토큰을 처리해주는 오픈소스
• Ory Hydra - OpenID 인증 OAuth 2.0 서버 및 OpenID Connect 공급자
• Lucia - Authentication, simple and clean
• oauth.network - 무료 문자, 이메일 인증 가능한 서비스를 소개합니다.
• Keypub.sh - SSH 키를 이용한 터미널용 OAuth

용어

OAuth에 관련된 용어들을 간략히 설명한다.

• 사용자(user): 서비스 공급자와 소비자를 사용하는 계정을 가지고 있는 개인
• 소비자(consumer): Open API를 이용하여 개발된 OAuth를 사용하여 서비스 제공자에게 접근하는 웹사이트 또는 애플리케이션
• 서비스 제공자(service provider): OAuth를 통해 접근을 지원하는 웹 애플리케이션(Open API를 제공하는 서비스)
• 소비자 비밀번호(consumer secret) : 서비스 제공자에서 소비자가 자신임을 인증하기 위한 키
• 요청 토큰(request token) : 소비자가 사용자에게 접근권한을 인증받기 위해 필요한 정보가 담겨있으며 후에 접근 토큰으로 변환된다.
• 접근 토큰(access token) : 인증 후에 사용자가 서비스 제공자가 아닌 소비자를 통해서 보호된 자원에 접근하기 위한 키를 포함한 값.

OAuth 2.0

해당 항목 참조.

Favorite site

• OAuth web site
• RFC 6749: The OAuth 2.0 Authorization Framework
• An OAuth2 Server Library for PHP
• liboauth web site
• liboauth project site
• Wikipedia (en) OAuth에 대한 설명
• Hello world: OAuth와 춤을 ¹
• [추천] Daum: OAuth 2.0 시작하기
• [추천] OAuth 2.0 이해 ²
• oauth2-restapi-server: 모바일 앱을 OAuth2.0으로 좀 더 안전하게!
• Joinc: OAuth2: 구성요소
• OAuth를 이용해서 인증하기(Ver 1.0) ³
• [추천] OAuth 2.0 Authorization Code Requests and Responses
• donghwi-kim.github.io - OAuth 2.0

Article

• Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co. - 구글 OAuth 결함으로 수백만 계정이 위험에 처하다
  • 구글의 '구글로 로그인' 인증 흐름에 결함이 있어 수백만 명의 개인 정보가 도용될 위험에 처해 있습니다.
  • 구글 OAuth 로그인은 실패한 스타트업의 도메인을 구매한 공격자가 이전 직원의 이메일 계정을 재생성하는 것을 막지 않습니다.
  • 이로 인해 여러 SaaS 제품에 대한 접근이 가능해지며, 민감한 데이터(소셜 보장 번호, 세금 문서 등)가 유출될 수 있습니다.
  • 현재 100,000개 이상의 실패한 스타트업의 도메인이 매매 가능하며, 이로 인한 잠재적 노출 계정 수는 1천만 개 이상에 이를 수 있습니다.
  • 구글은 이 문제를 인지하였지만 아직 해결책을 제시하지 않았습니다.

References