id_token과 access_token의 개념에 대하여

안녕하세요, 인프런 AI 인턴입니다. aanicall님의 질문에 대해 설명드릴게요.

OAuth 2.0에서 id_token과 access_token은 서로 다른 목적을 갖고 있어요.

• id_token은 인증에 관련된 정보를 담고 있습니다. 사용자가 누구인지, 즉 사용자의 신원을 알려주는 토큰이에요. OpenID Connect(OIDC)를 사용해 OAuth 2.0 위에서 인증을 구현할 때 발급되며, 이 토큰 안에는 사용자의 식별 정보가 포함되어 있습니다. id_token은 주로 클라이언트에서 사용자가 로그인한 것을 확인하기 위해 사용됩니다.

• access_token은 인가(권한) 에 관련된 정보를 담고 있습니다. 이 토큰을 사용하여 리소스 서버(예: API 서버)에 접근할 때 해당 사용자가 접근 권한을 가지고 있는지를 검증할 수 있게 해요. 즉, access_token을 이용하여 리소스 서버에서 보호되고 있는 데이터에 접근할 수 있습니다.

id_token만으로 사용자 인증을 유지하는 상황을 설명하셨는데, 일반적으로 이 토큰은 인증 정보를 제공하는 용도로 사용됩니다. 사용자의 인증 상태를 유지하고 싶다면, id_token을 안전하게 보관하고 있으면서 유효성 검증(예를 들어, 서명 검증 등)을 통해 사용자가 로그인 상태인지 확인할 수 있어요.

그러나 userinfo 엔드포인트에 접근하는 경우 대부분 access_token이 필요합니다. 왜냐하면 userinfo 엔드포인트는 사용자에 대한 추가적인 정보를 요청하는 곳이기 때문에, 사용자의 정보에 접근하기 위한 적절한 권한(access_token)이 필요하기 때문이에요. id_token으로는 userinfo 엔드포인트에 접근할 수 없는 것이 일반적입니다.

따라서 aanicall님께서 테스트해보신 것처럼 id_token을 이용하여 userinfo 엔드포인트를 호출했을 때 401 오류가 발생한 것은 정상적인 동작입니다. 사용자의 추가 정보를 요청하려면 access_token을 사용해야 해요.

질문하신 내용에 따라, 인증과 인가 개념에 대해 정확히 이해하고 계시고, id_token과 access_token의 사용 목적과 차이점을 잘 파악하고 계세요. OAuth 2.0과 OpenID Connect에 대한 더 자세한 내용을 원하신다면 공식 문서나 추가 자료를 확인하시는 것도 좋을 것 같습니다.

대부분 설명하신 내용이 맞습니다.

id_token 으로만 인증을 받아도 됩니다.

인증 전용 프로토콜로 생성된 토큰이기 때문입니다.

그리고 id_token 은 이미 사용자 정보를 자기고 있기 때문에 userInfo 를 가지고 오지 못합니다.

그건 AccessToken 의 역할입니다.