작성한 질문수 5

1

네

해당 강의는 Spring Security OAuth2 강좌입니다.

OAuth2 는 클라이언트가 사용자를 대신해서 인가서버로부터 권한을 부여받아 api 서버로부터 특정한 자원을 요청하도록 하는 것이 주요 목적입니다.

소셜 로그인도 네이버나 구글로부터 클라이언트가 액세스 토큰을 발급받고 다시 사용자정보를 가지고 와서 인증처리까지 하면 OAuth2 의 흐름은 1차적으로 완료된 것입니다.

만약 OAuth2 에 의한 인증처리를 하고 이후의 인증 상태유지를 하는 것을 세션을 통해 할 것인지 아니면 JWT 와 같은 토큰 방식으로 할 것인지는 선택사항입니다.

즉 OAuth2 와는 직접적인 관련은 없습니다.

장대영 님께서 말씀하신 successHandler 에서 jwt 를 생성해서 응답 헤더에 담아 전달하고 클라이언트가 restful api 통신 시 jwt 를 서버에 보내어 토큰을 검증하고 인증상태를 계속 유지하는 개념은 OAuth2 와는 관련이 없고 JWT 를 연계하는 토큰인증 방식이라 할 수 있습니다

다만 참고하실 것은 본 강의의 섹션 중에서 10 ~ 15 섹션인 OAuth 2.0 Resource Server 가 있습니다.
이 섹션에서 OAuth2 로 사용자의 인증처리가 이루어진 후 jwt 를 서명 및 발급해서 클라이언트로 응답하고 다시 클라이언트가 jwt 를 요청 헤더에 담아 서버에 전달하는 식의 인증방식과 인가서버에서 발행한 jwt 토큰을 가지고 리소스 서버로 접근 및 특정자원을 얻기 위해서 거쳐야 하는 여러 방법들에 대해 설명하고 있습니다

OAuth2 를 통해 발급받은 토큰을 가지고 실제 리소스 서버가 아닌 클라이언트 서버사이드에서 활용하는 부분은 가급적 사용하는 것을 권하지 않는 것으로 알고 있습니다

본 강의는 스프링 시큐리티에서 구현한 OAuth2 표준 기술에 대한 내용을 전달하고 있습니다.

OAuth2 을 벗어난 JWT 자체적인, 독립적인 인증이나 권한을 다루는 것이 아닌 인가서버에서 발행한 JWT 토큰을 사용해서 리소스 서버와의 api 통신을 활용하는 방법에 대해 설명하고 있습니다