인프런 커뮤니티 질문&답변

정성훈님의 프로필 이미지
정성훈

작성한 질문수

스프링 시큐리티 OAuth2

OAuth 2.0 Grant Type 개요

질문 사항

작성

·

348

·

수정됨

0

17:30
ppt를 보면 back chaennel에서 '클라이언트가 최종 사용자를 가지고 있는가?' 에 대한 말씀을 하시면서 '클라이언트가 사용자인 동시에 클라이언트의 역할을 수행하는 경우를 말한다'고 하셨는데 '아니오'일 때 Client Credentials Grant Type의 방식을 사용하게 되는 것이 이해가 잘 가지 않습니다.

22:10
'token, id_token의 경우 권한 부여 유형에서 지원해야 한다.' 라고 하셨는데 해당 방식의 경우 인가 서버의 구현 여부에 따라 사용할 수 있는지가 달라지는걸 말씀 하신건가요?

25:25

임시 코드 요청시와 액세스 토큰 요청 시에 같은 uri를 보내야 한다고 하셨는데, 이 값은 리소스 서버에 등록되어 있는 클라이언트의 redirect_uri 값과 항상 동일해야 하나요?
서버에 등록된 값과 다를 수 있는지 궁금합니다.

답변 1

0

정수원님의 프로필 이미지
정수원
지식공유자

17:30
Credentials Grant Type 가 사용자의 역할을 겸하고 있긴 하지만 정확하게는 사용자 자체는 없는 경우라 할 수 있습니다. 그래서 이 기준에서 본다면 아니오 라고 해석할 수 있습니다.
그렇지만 Client Credentials Grant Type 자체가 최종 사용자가 없더라도 사용자의 역할을 겸해서 수행한다는 의미로서 부연 설명한 것입니다

해당 강의에서는 클라이언트가 실제적인 최종사용자가 있느냐 없느냐를 기준으로 나눈 것인데 Credentials Grant Type 는 실제적인 최종 사용자가 없는 것이기 때문에 아니오가 맞습니다.

22:10
네 맞습니다.
인가서버에서 'token, id_token' 으로 response 타입을 지원한다면 인가 요청 시 code 뿐 아니라 'token, id_token' 도 가져 올 수 있게 됩니다.

25:25

정확하게는 리소스 서버에 등록되어 있는 것이 아닌 인가 서버에 등록이 된 redirect_uri 와 동일해야 합니다.
서버에 등록된 값과 클라이언트가 요청시 전달한 값과 다를 경우 인가서버에서는 invalid redirect_uri 와 같이 오류를 발생시킵니다.

정성훈님의 프로필 이미지
정성훈

작성한 질문수

질문하기