OAuth

3. 용어

OAuth가 사용되기 전에는 인증 방식의 표준이 없어 기존의 아이디와 비밀번호를 이용한 기본 인증 방식이 주로 사용되었으나, 이는 보안상 취약할 수 있다. 일부 애플리케이션들은 각자 개발한 방식으로 사용자를 확인하기도 했는데, 예를 들어 구글의 AuthSub, AOL의 OpenAuth, 야후의 BBAuth, 아마존의 웹서비스 API 등이 있었다.

OAuth는 이렇게 다양한 인증 방식을 표준화한 방식으로, OAuth를 이용하면 인증 정보를 공유하는 애플리케이션 간에는 별도의 추가 인증 없이 통합하여 사용하는 것이 가능하다.

OAuth와 관련된 기본적인 용어는 다음과 같다.

3. 1. OAuth 2.0의 역할

이 4가지 역할을 구체적인 예시를 들어 설명하면 다음과 같다. 어떤 사용자(리소스 소유자)가 웹사이트 A(리소스 서버)에 계정을 가지고 있고, A에 보관된 자신의 사진(리소스)을 다른 웹사이트 B(클라이언트)의 인쇄 서비스를 이용하여 인쇄하고 싶다고 가정해 보자. 이 경우 사용자는 사이트 B에게 "사이트 A에 보관된 자신의 사진에 접근하여 인쇄할 수 있는 권한"을 부여(인가)해야 한다.

이때 사용자는 사이트 A가 신뢰하는 인가 서버를 통해 인증을 받는다. 인증이 완료되면 인가 서버는 사이트 B가 사진 접근 및 인쇄 작업을 수행할 수 있도록 허용하는 접근 토큰(access token, 권한 위임용 자격 증명이라고도 함)을 발급하여 사용자에게 전달하고, 사용자는 이 토큰을 사이트 B에 넘겨준다. 이후 사이트 B는 필요할 때마다 이 접근 토큰을 사이트 A에 제시하여 사용자의 사진에 접근하고 인쇄 작업을 수행할 수 있게 된다.

이 과정에서 중요한 점은 사용자가 사이트 A의 비밀번호를 사이트 B에 직접 제공하지 않는다는 것이다. 단순히 사이트 A의 비밀번호를 사이트 B에 알려주는 방법으로도 권한을 줄 수 있지만, 이는 사진 인쇄에 필요하지 않은 다른 모든 권한까지 사이트 B에 넘겨주는 위험한 방식이다. OAuth는 이러한 단순한 방법의 단점을 보완하여, 필요한 최소한의 권한만을 안전하게 위임할 수 있도록 설계된 프로토콜이다.

다만, 사이트 A의 계정과 사이트 B의 계정이 연결되는 과정에서 보안 위험이 발생할 가능성은 여전히 존재한다.

3. 2. 액세스 토큰 (OAuth 2.0)

3. 3. 인가 부여 (OAuth 2.0)

4. 인증 방식 (OAuth 1.0)

OAuth 인증은 소비자와 서비스 제공자 사이에서 일어나는데, 이 인증 과정은 다음과 같다.^[54]

# 소비자가 서비스 제공자에게 요청 토큰을 요청한다.

# 서비스 제공자가 소비자에게 요청 토큰을 발급해준다.

# 소비자가 사용자를 서비스 제공자로 이동시킨다. 여기서 사용자 인증이 수행된다.

# 서비스 제공자가 사용자를 소비자로 이동시킨다.

# 소비자가 접근 토큰을 요청한다.

# 서비스 제공자가 접근 토큰을 발급한다.

# 발급된 접근 토큰을 이용하여 소비자에서 사용자 정보에 접근한다.

5. 프로토콜 (OAuth 2.0)

OAuth 2.0의 프로토콜 흐름은 다음과 같다^[41]:

# '''(A) 인증 요청 (Authorization Request):''' 클라이언트가 리소스 소유자(사용자)에게 인증을 요청한다. 인증 서버를 통해 간접적으로 요청하는 것이 권장된다.^[41]

# '''(B) 인증 그랜트 (Authorization Grant):''' 리소스 소유자가 인증 요청을 승인하면, 인증 서버를 통해 클라이언트에게 '''인증 그랜트'''를 전달한다.^[41]

# '''(C) 액세스 토큰 요청 (Access Token Request):''' 클라이언트는 전달받은 인증 그랜트를 인증 서버에 제시하며 액세스 토큰 발급을 요청한다.

# '''(D) 액세스 토큰 발급 (Access Token Issuance):''' 인증 서버는 클라이언트 인증 정보와 인증 그랜트의 유효성을 검증한 후, 문제가 없으면 액세스 토큰을 발급한다.

# '''(E) 리소스 접근 요청 (Resource Access Request):''' 클라이언트는 발급받은 액세스 토큰을 이용하여 리소스 서버에 보호된 리소스 접근을 요청한다.

# '''(F) 리소스 전달 (Resource Delivery):''' 리소스 서버는 액세스 토큰의 유효성을 확인하고, 유효하다면 클라이언트에게 요청한 리소스를 전달한다.

인증 그랜트를 발급하는 방식에는 다음 네 가지 유형이 있다^[42]:

• '''인증 코드 (Authorization Code):''' 클라이언트는 리소스 소유자를 인증 서버로 리다이렉션하고, 인증 서버는 리소스 소유자를 인증한 후 인증 코드형 인증 그랜트를 발행한다.
• '''임플리시트 (Implicit):''' 자바스크립트 등 스크립트 언어를 사용하여 브라우저 상에서 실행되는 클라이언트를 위해 인증 코드를 최적화한 방식이다.
• '''리소스 오너 비밀번호 자격 증명 (Resource Owner Password Credentials):''' 리소스 소유자의 아이디와 비밀번호 같은 자격 증명을 클라이언트가 직접 받아 액세스 토큰으로 교환하는 방식이다.
• '''클라이언트 자격 증명 (Client Credentials):''' 클라이언트 자신이 관리하는 리소스나 인증 서버와 사전에 협의된 특정 리소스에 접근할 때 사용하는 방식으로, 인증 범위가 해당 리소스로 제한된다.

6. 보안 문제

2009년4월 23일, OAuth 1.0 프로토콜에서 세션 고정 관련 보안 결함이 발표되었다. 이는 OAuth Core 1.0 섹션 6의 OAuth 인증 흐름(일명 "3자 인증 OAuth")에 영향을 미쳤다.^[11][43] OAuth Core 프로토콜의 버전 1.0a가 이 문제를 해결하기 위해 발행되었다.^[12]

2013년 1월, IETF는 OAuth 2.0에 대한 위협 모델을 발표했다.^[13] 제시된 위협 중에는 "Open Redirector"라는 것이 있는데, 2014년 초, 왕징(Wang Jing)은 이의 변종을 "Covert Redirect"라는 이름으로 설명했다.^{[14][15][16][17]}

OAuth 2.0은 공식 웹 프로토콜 분석을 사용하여 분석되었다. 이 분석을 통해 여러 인증 서버(AS, Authorization Server)가 설정되어 있고 그중 하나가 악의적으로 동작하는 경우, 클라이언트는 사용할 인증 서버에 대해 혼란을 겪고 비밀 정보를 악의적인 인증 서버(AS Mix-Up Attack)로 전달할 수 있다는 사실이 밝혀졌다.^[18] 이는 OAuth 2.0에 대한 새로운 보안 표준을 정의하기 위해 새로운 현재 최선의 실례 인터넷 초안을 만드는 계기가 되었다.^[19] AS Mix-Up Attack에 대한 수정 사항이 적용되었다고 가정하면, OAuth 2.0의 보안은 강력한 공격자 모델 하에서 공식 분석을 사용하여 입증되었다.^[18]

수많은 보안 결함이 있는 OAuth 2.0의 구현이 노출되었다.^[20]

2017년 4월과 5월에 약 100만 명의 Gmail 사용자(2017년 5월 기준 0.1% 미만)가 OAuth 기반 피싱 공격의 대상이 되었으며, 동료, 고용주 또는 친구가 Google Docs에서 문서를 공유하고 싶다는 내용의 이메일을 받았다.^[21] 이 이메일 내 링크를 클릭한 사용자는 로그인하여 "Google Apps"라는 잠재적으로 악의적인 타사 프로그램이 "이메일 계정, 연락처 및 온라인 문서"에 접근하도록 허용하라는 메시지를 받았다.^[21] "약 1시간" 이내에,^[21] 구글은 피싱 공격을 중단했으며, "Google Apps"에 이메일 접근 권한을 부여한 사용자에게 해당 접근 권한을 철회하고 비밀번호를 변경하도록 권고했다.

OAuth 2.1 초안에서는 악의적인 브라우저 확장이 OAuth 2.0 코드 삽입 공격을 수행하는 것을 방지하기 위해 모든 종류의 OAuth 클라이언트, 웹 애플리케이션 및 기타 기밀 클라이언트를 포함하여 네이티브 앱에 PKCE (RFC 7636) 확장 사용을 권장하고 있다.^[10]

7. 활용

OAuth는 다양한 서비스에서 안전하게 사용자 인증을 처리하고 API 접근 권한을 부여하는 표준 방식으로 널리 활용된다. 페이스북(Facebook)의 Graph API는 OAuth 2.0만 지원하며,^[23] 구글(Google) 역시 모든 API에 대해 OAuth 2.0을 권장 인증 메커니즘으로 지원한다.^[24] 마이크로소프트(Microsoft)도 다양한 자체 API 및 타사 API 보호에 사용되는 Azure Active Directory 서비스 등에서 OAuth 2.0을 지원한다.^[25]

또한 OAuth는 보호된 RSS나 Atom 피드 접근을 위한 인증 메커니즘으로 사용될 수 있다. 과거에는 인증이 필요한 RSS/Atom 피드 접근에 어려움이 있었으나, OAuth를 통해 RSS 클라이언트가 구글 사이트의 보호된 피드 등에 접근하도록 인증하는 것이 가능하다.

LibreOffice에서는 https://prrvchr.github.io/OAuth2OOo/ OAuth2OOo 확장과 같은 자유 소프트웨어 클라이언트 구현을 통해 구글 API나 마이크로소프트 그래프 API 등 OAuth 2.0으로 보호되는 원격 리소스에 접근할 수 있다. 이는 LibreOffice 매크로 등에서도 OAuth 2.0 기반의 HTTP 요청을 쉽게 작성하고 활용할 수 있게 한다.

8. 다른 표준과의 관계

OAuth는 다른 표준들과 다음과 같은 관계를 맺고 있다.

• '''OpenID''': OAuth는 인가(Authorization)를 위한 프로토콜이고 OpenID는 인증(Authentication)을 위한 프로토콜이라는 점에서 서로 구별된다. 두 표준은 상호 보완적인 관계에 있다. 자세한 내용은 OpenID와 OAuth 섹션에서 다룬다.
• '''OATH''': 이름이 유사하지만, OAuth는 권한 부여 참조 아키텍처인 OATH와는 관련이 없다.
• '''OpenID Connect (OIDC)''': OpenID Connect는 OAuth 2.0 프로토콜 위에 구축된 인증 계층으로, OAuth와 직접적인 관련이 있다.
• '''XACML''': XACML은 권한 부여 정책을 위한 표준으로 OAuth와 직접적인 관련은 없으나, 함께 사용될 수 있다. OAuth가 사용자 동의와 접근 위임을 처리하고 XACML이 세부적인 권한 부여 정책(예: 관리자는 해당 지역의 문서를 볼 수 있음)을 정의하는 데 사용될 수 있다. 자세한 내용은 OAuth와 XACML 섹션에서 다룬다.

8. 1. OpenID와 OAuth

8. 2. OAuth와 XACML

• 접근 제어 아키텍처
• OAuth를 통해 처리되거나 정의된 동의를 활용하는 정책을 포함하여, 광범위한 접근 제어 정책을 표현할 수 있는 정책 언어
• 권한 부여 요청과 응답을 주고받기 위한 요청/응답 규격

• 관리자는 자신이 속한 부서의 문서만 볼 수 있다.
• 관리자는 자신이 소유한 문서가 초안 상태일 때만 편집할 수 있다.

9. 논란

참조

_[1] 웹사이트 Open Authorization - Glossary {{!}} CSRC https://csrc.nist.go[...] NIST Computer Security Resource Center
_[2] 웹사이트 RFC6749 - The OAuth 2.0 Authorization Framework https://tools.ietf.o[...] Internet Engineering Task Force 2012-10-10
_[3] 웹사이트 Understanding OAuth: What Happens When You Log Into a Site with Google, Twitter, or Facebook http://lifehacker.co[...] 2016-05-15
_[4] 간행물 Justin Richer on OAuth 2020-01
_[5] 웹사이트 Amazon & OAuth 2.0 https://login.amazon[...] 2017-12-15
_[6] 웹사이트 Introduction https://oauth.net/ab[...] 2018-11-21
_[7] 웹사이트 OAuth Core 1.0 http://oauth.net/cor[...] 2014-10-16
_[8] 웹사이트 Twitter Apps Go OAuth Today http://www.webpronew[...] 2017-07-31
_[9] 웹사이트 RFC6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage https://tools.ietf.o[...] Internet Engineering Task Force 2012-10-10
_[10] 웹사이트 The OAuth 2.1 Authorization Framework https://datatracker.[...] tools.ietf.org 2024-11-15
_[11] 웹사이트 OAuth Security Advisory: 2009.1 http://oauth.net/adv[...] 2009-04-23
_[12] 웹사이트 OAuth Core 1.0a http://oauth.net/cor[...] 2009-07-17
_[13] 웹사이트 RFC6819 - OAuth 2.0 Threat Model and Security Considerations https://tools.ietf.o[...] 2020-06-29
_[14] 웹사이트 OAuth Security Advisory: 2014.1 "Covert Redirect" http://oauth.net/adv[...] 2014-11-10
_[15] 웹사이트 Serious security flaw in OAuth, OpenID discovered http://www.cnet.com/[...] 2014-11-10
_[16] 웹사이트 Math student detects OAuth, OpenID security vulnerability http://phys.org/news[...] Phys.org 2014-11-11
_[17] 웹사이트 Covert Redirect http://tetraph.com/c[...] Tetraph 2014-11-10
_[18] 서적 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security ACM Press 2016
_[19] 웹사이트 OAuth 2.0 Security Best Current Practice https://tools.ietf.o[...] 2019-07-08
_[20] 웹사이트 Hacking Facebook with OAuth 2.0 and Chrome http://homakov.blogs[...] 2013-03-06
_[21] 웹사이트 Google Docs phishing email 'cost Minnesota $90,000' https://www.bbc.co.u[...] 2020-06-29
_[22] 웹사이트 Oauth Grant Types https://oauth.net/2/[...] 2023-12-06
_[23] 웹사이트 Authentication - Facebook Developers https://developers.f[...] 2020-01-05
_[24] 웹사이트 Using OAuth 2.0 to Access Google APIs | Google Identity Platform https://developers.g[...] 2020-01-04
_[25] 웹사이트 v2.0 Protocols - OAuth 2.0 Authorization Code Flow https://docs.microso[...] 2020-06-29
_[26] 웹사이트 An Introduction to OAuth2 Authentication https://www.linode.c[...] 2024-04-18
_[27] 웹사이트 End User Authentication with OAuth 2.0 http://oauth.net/art[...] 2016-03-08
_[28] 웹사이트 OAuth 2.0 and the Road to Hell https://hueniverse.c[...] 2018-01-17
_[29] 웹사이트 October 2021 - Updates and reassurances https://www.pmail.co[...] 2024-12-19
_[30] 웹사이트 For immediate release: OAuth Core 1.0 Specification released at Internet Identity Workshop http://blog.oauth.ne[...] 2024-01-15
_[31] 문서 IETF RFC|6749日本語訳 1.1節
_[32] 인용
_[33] 인용
_[34] 인용
_[35] 인용
_[36] 인용 RFC6749
_[37] 인용 RFC6749
_[38] 인용 RFC6749
_[39] 인용 RFC6749
_[40] 인용 RFC6749
_[41] 문서 RFC6749일본어역 1.2절
_[42] 문서 RFC6749일본어역 1.3절
_[43] 웹사이트 OAuth Security Advisory: 2009.1 http://oauth.net/adv[...] 2009-04-23
_[44] 웹사이트 The OAuth 2.0 Authorization Protocol http://tools.ietf.or[...] 2011-02-16
_[45] 웹사이트 Introducing OAuth 2.0 http://hueniverse.co[...] 2010-05-15
_[46] 웹사이트 Dick Hardt, Ed. "The OAuth 2.0 Authorization Framework" https://datatracker.[...]
_[47] 웹사이트 Michael B. Jones, Dick Hardt, "The OAuth 2.0 Authorization Framework: Bearer Token Usage" https://datatracker.[...]
_[48] 웹사이트 Authentication - Facebook Developers http://developers.fa[...]
_[49] 웹사이트 Making auth easier: OAuth 2.0 for Google APIs https://googlecode.b[...] 2011-03-14
_[50] 웹사이트 Announcing Support for OAuth 2.0 http://windowsteambl[...] 2011-05-04
_[51] 웹인용 Understanding OAuth: What Happens When You Log Into a Site with Google, Twitter, or Facebook http://lifehacker.co[...]
_[52] Amazon Amazon & OAuth 2.0 https://login.amazon[...]
_[53] 웹인용 OAuth Core 1.0 http://oauth.net/cor[...] 2007-12-04
_[54] 이미지 http://oauth.net/cor[...]