Software Engineer, Java, Spring Boot, JAX-RS REST API, OAuth 2.0, Microservice, DevOps

온라인 토큰? 오프라인 토큰? Shopify는 본래 access_token으로 오프라인 토큰만이 존재했다. 오프라인 토큰이란 쇼핑몰 관리자가 쇼핑몰에 앱을 설치한 시점에 모든 권한 위임이 발생하면서 오직 하나의(재발급 요청이 없는 한) access_token으로 모든 로그인한 사용자가 같은 권한으로 앱의 기능을 사용하는 형태이다. (앱이 관리자에 의해 삭제될 때까지 유효하다.) 하지만 사용자에 따라 앱이 제공하는 기능을 제한할 필요가 있다. 앱 단위가 아닌 이러한 사용자 단위의 권한 위임을 제공하기 위한 방법으로 온라인 토큰이 도입되었다. (2016-10-20 적용) [관련 링크] 온라인 토큰 사용의 대표 사례는 Orders Printer 앱이다. 현재 로그인한 사용자에 따라 사용할 수 있는 기능에 제한..

grant_type OAuth 2.0 프레임워크의 핵심은 다양한 클라이언트 환경에 적합한 인증 및 권한의 위임 방법(grant_type)을 제공하고 그 결과로 클라이언트에게 access_token을 발급하는 것이다. 한 번 획득된 access_token은 만료 시점까지 모든 리소스 서버의 엔드포인트 요청 헤더에 Authorization: Bearer {ACCESS_TOKEN}로 첨부된다. 사용자의 인증 과정에 개입하는 2가지 방식(authorization_code, implicit)과 사용자가 인증 과정에 개입하지 않는 2가지 방식(password, client_credentials)이 있다. 마지막으로 만료된 access_token을 재발급 받기 위한 refresh_token이 있다. authoriza..

개요 클라이언트는 API를 사용하는 소비자이다. 클라이언트는 웹 서버일 수도 있고 브라우저에서 작동하는 JS 애플케이션일 수도, 모바일 네이티브 앱일 수도 있다. 클라이언트의 종류와 성격에 따라 OAuth 2.0 사양은 각 상황에 적합한 4가지의 grant_type을 제공한다. 스키마 client.id String 시스템이 생성한 고유한 랜덤 문자열 (ex: 0jrabyQWm4B9zVJPbotY)클라이언트 등록시 생성되며 한 번 생성되며 변경이 불가능하다.외부에 노출될 수 있다. client.client_secret String client_id와 더불어 인증 수단으로 쓰이는 씨크릿 코드 (ex: 5W7XULCEs4BJKnWUXwh8lgmeXRhcGcdViFp84pWe)클라이언트의 요청에 의해 재발급이 ..

개요 인증된 사용자만 API에 접근하게 하려면 API 보안이 매우 중요하다. 스코프(Scope)는 클라이언트에게 허용된 리소스의 범위를 저장한다.스코프는 엔드포인트와 1:1 관계가 아니다. 1개의 엔드포인트가 여러 개의 스코프를 가질 수 있고 여러 개의 엔드포인트가 1개의 스코프를 가질 수도 있다. 엔드포인트를 제공하는 리소스 서버는 인증 서버가 제공하는 허용 스코프에 따라 정보를 가공하여 응답해야할 의무가 있다.grant_type이 authorization_code, implicit 방식의 인증은 클라이언트 등록시 요청된 Scope에서 사용자가 동의한 항목만 Scope로 결정되어 최종적으로 access_token에 담겨진다. 스키마 scope.id String 시스템이 생성한 고유한 랜덤 문자열 (ex..