Oauth2 + jwt 에 대한 질문이 있습니다.
555
작성한 질문수 49
시큐리티 + jwt만을 사용한다면 회원가입하고 로그인하면 jwt를 클라이언트에게 보내줘서 다른 요청을 할 때 jwt를 함께 보내고 게시판이 해당 유저인지 판별할 때 예전에는 세션으로 사용했지만 이제는 jwt로 구별한다고 알고있습니다. 그러면 Oauth2 + jwt는 회원가입, 로그인만 소셜로그인 즉, 외부로 빼기만 한거고 소셜 로그인이 성공하면 jwt를 클라이언트에게 주고 그걸로 로그인을 유지한다던지 나머지 역할은 같나요?
소셜 로그인하면 accessToken을 발급해주는데 그거는 단지 서버에서 소셜로그인할 때 연결하기 위한거고 클라이언트에겐 따로 jwt를 만들어서 accessToken, refreshToken을 발급해줘야 하는건가요?
답변 1
0
네
질문하신 내용이 전반적으로 맞는 해석입니다
OAuth2 는 사용자를 대신하여 클라이언트에게 권한을 위임하는 개념이고 클라이언트에게 권한이 주어졌다면 OAuth2 의 역할은 끝났습니다. 그 증거로 Access Token 을 클라이언트에게 발급한 겁니다
그 다음부터 클라이언트가 토큰을 가지고 인증처리를 할 것인지 아니면 특정한 리소스를 요청할 것인지는 개발자의 몫입니다
보통은 사용자의 정보를 가져와서 인증처리를 하게 됩니다. 그리고 인증처리 이후 지속적인 인증 흐름을 유지하기 위해 세션방식으로 할 것인지 아니면 jwt 인증방식으로 할 것인지는 외부 기관의 OAuth2 와는 아무런 상관이 없습니다
만약 세션이 만료되거나 jwt 가 폐기되는 상황이 발생되었을 때 다시 소셜로그인 OAuth2 의 흐름을 동일하게 타면 됩니다
그래서 질문하신 내용이 잘 이해한 것이라 보여집니다
authorization-server 라이브러리 질문이 있습니다.
0
76
1
loadUser 중 Missing attribute 'preferred_username' in attributes 에러 발생
0
77
2
JWT 조회 에 대한 질문
0
71
1
password grant 방식 에러 응답
0
90
3
FormLoginConfigure에서 생성하는 필터
0
78
2
현업에서 springboot를 3.5.5 를 사용해서 공부중인데...
0
284
2
Jdbc 관련 강의 및 깃헙 문의
0
77
1
OAuth2AuthorizedClient 이해 및 활용 강의 내용 질문
0
208
1
UserInfo 엔드포인트 요청 실습
0
74
1
RFC 문서에서의 AccessToken 발급 방식 궁금한점
0
150
1
강의자료.zip 를 다운로드 받았는데 압축이 풀리지 않습니다. 확인 부탁드려요
0
139
2
OIDC SSO 관련 질문 입니다.
0
130
1
AuthenticationEntryPoint 강의 누락 문의
0
122
1
cors설정방법
0
115
1
jwt decoder 토큰 검증 시 질문
0
221
1
클라이언트에서 userinfo 엔드포인트 호출 시 질문
0
185
2
JOSE 구성요소의 api에 관한 질문
0
140
2
스프링 부트 3버전으로 따라가시는 분들 참고하세요
1
529
1
CustomOAuth2AuthenticationFilter 구현 중 질문
0
145
2
AuthenticationManager 생성시점
0
117
1
FormLogin과 Oauth2Client 둘 중 사용하는 시점
0
127
1
postman userinfo 엔드포인트 질문
0
135
2
강의 수강신청하고 듣기 전입니다 질문있습니다.
0
114
1
인증 코드를 통해 발급 받은 토큰의 관리
0
198
1