Spring Security OAuth 2.0, GET /oauth/authorize 요청 분석

기능

• GET /oauth/authorize 요청은 클라이언트가 리소스 서버의 API를 사용하기 위해 사용자(리소스 소유자)에게 권한 위임 동의를 받기 위한 페이지를 출력하는 기능을 수행한다.

실행조건

• 사용자(Resource Owner)가 로그인되어 있어야 한다. 로그인되어 있지 않을 경우 GET /login로 리다이렉트한다.

요청사양

curl -X GET "http://localhost:8080/oauth/authorize" \
-G \
-d "client_id={client_id}" \
-d "client_secret={client_secret}" \
-d "scope={scope}" \
-d "grant_type={grant_type}" \
-d "response_type={response_type}"

실행순서

1: CharacterEncodingFilter.doFilter()
2: HiddenHttpMethodFilter.doFilter()
3: HttpPutFormContentFilter.doFilter()
4: RequestContextFilter.doFilter()
5: WebAsyncManagerIntegrationFilter.doFilter()
6: SecurityContextPersistenceFilter().doFilter()
7: HeaderWriterFilter.doFilter()
8: CsrfFilter.doFilter()
9: LogoutFilter.doFilter()
10: UsernamePasswordAuthenticationFilter.doFilter()
11: DefaultLoginPageGeneratingFilter.doFilter()
12: BasicAuthenticationFilter.doFilter()
13: RequestCacheAwareRequestFilter.doFilter()
14: SecurityContextHolderAwareRequestFilter.doFilter()
15: AnonymousAuthenticationFilter.doFilter()
16: SessionManagementFilter.doFilter()
17: ExceptionTranslationFilter.doFilter()
18: FilterSecurityInterceptor.doFilter()
19: AuthorizationEndpoint.authorize(model, parameters, sessionStatus, principal)

AuthorizationEndpoint

• response_type 파라메터 값이 code, token가 아닐 경우 UnsupportedResponseTypeException 예외를 발생시킨다.


• client_id 파라메터 값과 일치하는 클라이언트 정보가 저장소에 존재하지 않을 경우 InvalidClientException 예외를 발생킨다.


• 사용자(Resource Owner)가 인증(로그인)되지 않은 상태일 경우 InsufficientAuthenticationException 예외를 발생시킨다.


• redirect_uri 파라메터 값이 클라이언트 정보에 정의된 것과 일치하지 않을 경우 RedirectMismatchException 예외를 발생시킨다.


• scope 파라메터 값이 클라이언트 정보에 정의된 것에 존재하지 않을 경우 InvalidScopeException 예외를 발생시킨다.


• 사용자가 동의하지(approved) 않은 상태일 경우 권한 위임에 동의을 요청하는 페이지(userApprovalPage)를 출력한다.


• 사용자가 동의(또는 거부)를 완료하면 POST /oauth/authorize를 호출한다.

curl -X POST "http://localhost:8080/oauth/authorize" \
-d "user_oauth_approval=true" \
-d "_csrf=28cccaa8-c359-4e1e-b69b-f4f7d3acc355" \
-d "scope.read:user=true" \
-d "authorize=Authorize"

• 성공 응답시 최종적으로 사용자가 명시한 redirect_uri로 리다이렉트한다.

curl -X GET "{redirect_uri}" \
-d "code=DO8jTT"

• code 파라메터는 RandomValueStringGenerator.generate()로 6자리 영대소문자와 숫자 조합의 문자열을 생성한다. 클라이언트 서버 측에서 이 code를 이용하여 access_token과 교환하는 용도로 사용된다.