OAuth

OAuth는 Service Consumer와 Service Provider라는 개념으로 구현된 Web Service 인증 방식 입니다.

• 홈페이지 : http://www.oauth.net/ version 2.0

OAuth 개요

인증 종류

• OAuth (2-legged OAuth, 3-legged OAuth), OAuthSub
• 기타 인증 방안

• 네이버 등 오픈 API 제공 업체로부터 인증키 발급받아 인증
• ClientLogin

OAuth 용어

• 액세스 토큰

• 사용자의 인증을 사용하지 않고 사용자 대신 보호된 자원에 대한 액세스 권한을 부여하기 위해 소비자에 의해 사용되는 값입니다.
• OAuth 1.0.A의 경우 액세스 토큰을 세션 ID와 교환해야 합니다.
• Auth 2.0에서는 액세스 토큰이 세션 ID이므로 직접 사용할 수 있습니다.

• 인증 코드

• OAuth 2.0에만 사용됩니다. 최종 사용자가 허용한 액세스를 나타내는 단기간 토큰입니다. 인증 코드는 액세스 토큰 및 새로 고침 토큰을 확보하는 데 사용됩니다. OAuth 1.0.A의 경우 요청 토큰을 참조하십시오.

• 소비자

• 사용자를 대신해서 응용 프로그램과 사용자를 인증하기 위해 OAuth를 사용하는 응용 프로그램 또는 웹 사이트입니다.

• 소비자 키

• 소비자를 확인시키기 위해 소비자에 의해 사용되는 값입니다.

• 소비자 암호

• 소비자 키의 소유권을 설정하기 위해 소비자에 의해 사용되는 암호입니다.

• Nonce

• 요청을 다시 사용할 수 없도록 인증하는 동안 사용되는 숫자(난수라고도 함)입니다.

• OAuth 프로토콜 매개 변수

• 이름이 oauth_로 시작하는 매개 변수(예: oauth_consumer_key 및 oauth_nonce)입니다.

• 새로 고침 토큰

• OAuth 2.0에만 사용됩니다. 최종 사용자가 액세스를 다시 승인하지 않고도 소비자가 새 액세스 토큰을 확보하는 데 사용하는 토큰입니다.

• 요청 토큰

• 사용자로부터 인증을 확보하기 위해 소비자가 사용하는 값으로서 액세스 토큰과 교환됩니다. 요청 토큰은 OAuth 1.0.A에서만 사용됩니다. OAuth 2.0의 경우 인증 토큰을 참조하십시오.

• 서비스 공급자

• OAuth를 사용하여 액세스할 수 있는 웹 응용 프로그램입니다. 이는 원격 액세스가 활성화된 이후의 인스턴스입니다.

토큰 암호

• 지정된 토큰의 소유권을 설정하기 위해 소비자가 사용하는 암호로서 요청 토큰 및 액세스 토큰 둘 다에 사용됩니다.

• 사용자

• 로그인하는 개인입니다.

OAuth 1.0a

OAuth 2.0

The OAuth 2.0 Authorization Framework

• 구성 요소

• Resource Owner : 사용자
• Resource Server : API 서버
• Authorization Server : 인증 서버
• Client : Thirt party application

OAuth Library

• oauth-signpost : Simple OAuth message signing for Java

참고 문헌

• 초보자를 위한 oAuth 가이드 - Workflow, OAuth 관련 글

• Beginner’s Guide to OAuth – Part III : Security Architecture

• RESTFul Web Services for Java
• Open API를 사용하기 위한 인증표준 OAuth, 트위터 2010년 10월부터 서드파티에 OAuth만 사용!!, 2010.6

• Gatting Started
• 트위터 oAuth적용하기, 2010.12