OAuth Github 로그인

OAuth Github 로그인

OAuth란

https://www.youtube.com/watch?v=hm2r6LtUbk8

OAuth의 세 역할들

• 내 서비스
• 사용자
• 유명 서비스 (구글, 네이버 등)

OAuth의 인증 절차

1. 유명 서비스가 Access Token을 발급한다

   AccessToken이란?

   유명 서비스가 가진 사용자정보에 접근하기 위해, 사용자의 아이디 비밀번호 대신 사용하는 토큰

   유명 서비스가 가진 사용자 정보들 중에서 내 서비스가 꼭 필요한 기능만 부분적으로 접근을 허용한다.

2. 내 서비스는 OAuth를 통해 AccessToken을 가져온다

3. 내 서비스는 AccessToken을 통해 유명 서비스가 가진 사용자 정보에 접근하고, 가져오고, 수정한다.

GitHub OAuth - Authorizing OAuth Apps(Web Application Flow)

https://docs.github.com/en/enterprise-server@2.21/developers/apps/building-oauth-apps/authorizing-oauth-apps#non-web-application-flow

https://zeddios.tistory.com/1102

0. Github OAuth App을 만든다.

• https://docs.github.com/en/enterprise-server@2.21/developers/apps/building-oauth-apps/creating-an-oauth-app 를 참고.
• Authorization callback URL이란? OAuth 인증이 끝나고 되돌아올 URL. 인증이 끝나면 내 서비스(앱)으로 되돌아와야 하므로 앱 주소를 넣어주어야 한다.
• https://zeddios.tistory.com/1102를 참고해 URL Schemes를 만든 후, 뒤에 ://을 붙여 넣어준다
• OAuth 앱 생성 시 알려주는 Client ID, Client Secret을 기억해 둔다.
• 특히 Client Secret은 첫 생성 후에 다시 볼 수 없으니 안전한 곳에 잘 보관해 둔다.

1. 사용자의 깃헙 아이덴티티를 요청하도록 사용자를 리다이렉트 시킨다.

• 예를 들어 "GitHub으로 로그인" 버튼을 누르면 사용자의 깃헙 정보를 요청한다.
• *GET https://github.com/login/oauth/authorize *
  • [hostname]에 github.com을 넣으면 된다.
• 뒤에 원하는 정보를 쿼리 파라미터로 붙여 요청한다.
• Parameters (쿼리 파라미터)
  • (필수) client_id : String. 깃헙으로부터 받은 Client ID이다
  • redirect_uri : String. 사용자가 인증 후에 보내질 애플리케이션의 URL. redirect urls 참고.
  • login : String. 앱 회원가입 및 인증에 사용할 특정 계정을 제시함.
  • scope : String. 범위(scope) 목록. 공백으로 구분됨.
    • 이 파라미터가 제공되지 않으면 빈 배열이기 때문에, 앱이 사용자 정보에 어떤 접근 범위도 갖지 못함.
    • 앱에서 이미 인증된 범위를 가진 사용자에 대해서는, 범위를 보여주는 인증 페이지가 보여지지 않음. 사용자가 이미 인증한 범위를 가지고 이 부분을 채운다.
    • 사용 가능한 범위 정보는 여기에 설명되어 있다. - 번역
  • state : String. 추측할 수 없는 랜덤 문자열. 사이트 간 요청 위조 공격으로부터 보호하기 위해 사용.
  • allow_signup : String. OAuth 흐름 동안 깃헙 회원가입이 가능하게 할지에 대한 옵션. 기본값은 true.

2. 사용자가 깃헙에 의해 내 서비스로 리다이렉트되어 되돌아온다.

• 사용자가 당신(내 서비스)의 요청을 허용하면, 깃헙 서버가 code파라미터에 임시 코드를, state파라미터에 1.에서 제공한 state를 넣어서 내 서비스로 다시 리다이렉트 해준다.

• code는 10분 후에 만료된다.

• 만약 state가 내가 보낸 것과 일치하지 않으면, 제3자가 요청을 생성한 것이므로 인증 절차를 중단해야 한다.

• code는 액세스 토큰을 의미하며, 아래 URL로 요청을 보낼 때 access_token자리에 넣는다.

• POST https://github.com/login/oauth/{access_token}

• 뒤에 필수 정보를 포함한 파라미터를 붙여 요청한다.

• Parameters (쿼리 파라미터)

  • (필수) client_id : String. 내 OAuth 앱에 대해 깃헙으로부터 받은 Client ID
  • (필수) client_secret : String. 내 OAuth 앱에 대해 깃헙으로부터 받은 Client Secret
  • (필수) code : String.1.의 결과로 받은 코드.
  • redirect_uri : String. 사용자가 인증 후에 보내질 애플리케이션의 URL.

• Response

  • 기본적으로는 아래의 형태로 응답이 온다.

    • access_token=e72e16c7e42f292c6912e7710c838347ae178b4a&token_type=bearer

  • 또한 Accept 헤더에 따라 서로 다른 포맷으로 내용을 받을 수 있다.

    • Accept: application/json
      {"access_token":"e72e16c7e42f292c6912e7710c838347ae178b4a", "scope":"repo,gist", "token_type":"bearer"}
      
      Accept: application/xml
      <OAuth>
        <token_type>bearer</token_type>
        <scope>repo,gist</scope>
        <access_token>e72e16c7e42f292c6912e7710c838347ae178b4a</access_token>
      </OAuth>

3. 내 서비스가 사용자의 액세스 토큰을 가지고 API에 접근한다.

• AccessToken (액세스토큰) 을 가지고, 사용자를 대신해 API에 요청을 보낼 수 있다.

  • Authorization: token OAUTH-TOKEN
    GET http(s)://[hostname]/api/v3/user