OAUTH 2.0 인증 코드 흐름의 복잡성에 뛰어 들어 액세스 토큰이 관리되는 방법을 알아보십시오. 이 안내서는 웹 브라우저가 액세스 토큰과 어떻게 상호 작용 하는지를 명확하게합니다. ---이 비디오는 https://stackoverflow.com/q/70335208/에 대한 질문을 기반으로합니다. 사용자 'kid_learning_c'(https://stackoverflow.com/u/3703783/) 및 답변 https://stackoverflow.com/a/70349680/ '(mommycal trojanows)가 제공합니다. '스택 오버 플로우'웹 사이트에서 https://stackoverflow.com/u/1712294/). 이 훌륭한 사용자와 StackexChange 커뮤니티 덕분에 공헌에 감사드립니다. 대체 솔루션, 주제, 주석, 개정 내역 등에 대한 대체 솔루션, 최신 업데이트/개발과 같은 원본 콘텐츠 및 더 자세한 내용은이 링크를 방문하십시오. 예를 들어, 질문의 원래 제목은 다음과 같습니다. OAUTH 2.0 : 권한 부여 코드 흐름에서 결국 액세스 토큰을 내 웹 브라우저에 건네주는 사람은 누구입니까? 또한 CC BY-SA https://meta.stackexchange.com/help/licensing에 따라 라이센스가 부여 된 콘텐츠 (음악 제외) 원래 질문 게시물은 'CC Bysa 4.0'(https://creativecommons.org/licenses/by-sa/4.0/) 라이센스에 따라 라이센스가 부여되며, 원본 답변은 'CC Bee-sa 4.0'(CC Bee-sa 4.0)에 라이센스가 부여됩니다. https://creativecommons.org/licenses/by-sa/4.0/) 라이센스. 당신에게 어떤 것이 보이면, vlogize [at] gmail [dot] com에서 저를 보내 주시기 바랍니다. --- OAUTH 2.0 이해 : 누가 웹 브라우저에 액세스 토큰을 건네 주십니까? 웹 애플리케이션의 세계에서는 원활한 액세스를 제공하면서 사용자 정보를 보호하는 것이 우선 순위입니다. 여기에서 OAUTH 2.0이 수행되는 곳, 특히 승인 코드 흐름입니다. 그러나이 과정에서 누가 웹 브라우저에 액세스 토큰을 정확히 나눠 주는지 궁금한 적이 있습니까? 이것을 단계별로 나누겠습니다. Oauth 2.0은 무엇입니까? OAUTH 2.0은 타사 응용 프로그램이 사용자의 자격 증명을 노출시키지 않고 사용자 데이터에 대한 제한된 액세스를 얻을 수있는 프레임 워크입니다. 액세스 토큰을 얻는 다양한 보조금 유형을 통해이를 수행합니다. 인증 코드 흐름은 주로 웹 애플리케이션에서 사용하는 이러한 방법 중 하나입니다. 권한 부여 코드 흐름 설명 1 단계 : 권한 요청 사용자가 권한 부여 서버에 의해 보호 된 리소스에 액세스하도록 요청을 시작합니다. 사용자는 인증 서버로 리디렉션됩니다. 인증 후 인증 서버는 인증 코드로 응용 프로그램으로 다시 리디렉션됩니다. 2 단계 : 토큰 교환 웹 브라우저는 인증 코드를 수신하여 응용 프로그램의 백엔드로 보냅니다. 그런 다음 백엔드 응용 프로그램은 Accessization Server /Oauth /Token Endpoint에 요청을 보냅니다. 3 단계 : 사용자 세션 설정 응용 프로그램이 인증 서버에서 액세스 토큰을 받으면 웹 브라우저에서 사용자 세션을 설정할 수 있습니다. 이는 한 사용자를 다른 사용자와 구별하고 응용 프로그램 내에서 해당 세션을 유지하기 때문에 중요합니다. 브라우저가 액세스 토큰을 얻습니까? 중추적 인 설명은 다음과 같습니다. 브라우저에는 액세스 토큰 자체가 필요하지 않습니다. 이는 기본적으로 암시 적 흐름과 다릅니다.이 흐름은 토큰이 브라우저로 직접 전송되어 후속 요청에 사용됩니다. 이 코드 흐름에서 프로세스는 서버 측에서 처리되어 브라우저의 직접 처리에서 액세스 토큰을 분리합니다. 브라우저가 액세스 토큰을 사용하지 않는 이유는 무엇입니까? 브라우저는 쿠키 나 다른 세션 식별자를 처리하는 것과 같은 방식으로 설계에 따라 웹 브라우저, 웹 브라우저를 디자인하거나 관리하지 않습니다. 세션 관리 : 상호 작용을 위해 토큰에 의존하는 대신 응용 프로그램은 세션을 사용하여 사용자 인증 및 승인을 추적합니다. 세션 관리의 역할 응용 프로그램이 액세스 토큰을받을 때 브라우저 컨텍스트 내에서 로그인 한 사용자를위한 세션을 이상적으로 만들어야합니다. 이는 사용자가 응용 프로그램과 상호 작용할 때마다 실제 토큰이 각 요청에 동반하도록 요구하지 않고 해당 세션을 통해 필요한 승인을 관리한다는 것을 의미합니다. 기억해야 할 핵심 사항 : 응용 프로그램은 액세스 토큰을 안전하게 처리하고이를 사용하여 API 호출을 인증합니다. 주요 목표가 사용자를 간단하게 인증하는 것이라면 OAUTH를 완전히 구현하는 대신 기존 세션 관리로 충분할 수 있습니다. 결론 사용자 세션 관리 방식과 함께 OAUTH 2.0의 동작을 이해하면 개발자와 사용자 모두가 웹 애플리케이션에서 기본 보안 관행을 파악할 수 있습니다. 결론적으로, 응용 프로그램은 액세스 토큰을 관리하지만, 사용자가 브라우저에 민감한 토큰을 직접 노출시키지 않고 응용 프로그램과 상호 작용할 수 있도록 효과적인 세션 관리를 마련하는 것이 중요합니다. 이것은 보안 및 사용자 경험을 모두 향상시킵니다. 권한 부여 코드 흐름을 통해 액세스 토큰의 여정을 탈취함으로써 사용자와의 응용 프로그램의 상호 작용을 더 잘 보호 할 수 있습니다.
