OpenId Provider와 인가서버의 차이에 대해 질문드립니다.
안녕하세요 강사님.
매번 너무나도 좋은 강의 감사드립니다.
강의 내용 중 OIDC 부분을 학습하다 궁금증이 생겨 질문드립니다.
위의 이미지는 제공해주신 ppt 자료 중 96번 슬라이드의 내용입니다.
이전 내용에서 OIDC를 사용하지 않는 클라이언트의 요청을 확인하여 액세스 토큰을 발급하는 주체는 인가 서버라고 설명을 해 주셨는데 위의 이미지에서는 OP가 ID토큰과 액세스 토큰을 발급한다고 설명을 해 주셨습니다.
혹시 OIDC를 사용하는 경우에는 OpenID Provider가 인가 서버의 역할을 같이 하는 것이라고 생각해도 될까요?
감사합니다.
답변 1
1
네
OIDC 는 인가서버에 포함되는 개념입니다
인가서버의 정확한 역할은 인증이 아니라 인가입니다
즉 클라이언트에게 사용자가 속한 서버의 리소스를 허가하도록 access token 을 발급하는 것입니다
이말즉슨 클라이언트에게 사용자의 인증을 처리하도록 하는 것이 아닙니다
그러나 클라이언트가 부여받은 권한을 가지고 사용자의 정보를 가져와서 인증처리를 할 수 있게 때문에 OAuth2 는 아예 인증만을 위한 별도의 프로토콜을 인가서버의 최상단 레이어에 정의하였는데 그것이 바로 OpenID Connector Provider 입니다
그래서 요약하자면 OIDC 는 인가서버에서 제공하는 인증만을 위한 별도의 프로토콜이라 보시면 됩니다 그렇기 때문에 인증만을 위한 목적이라면 굳이 access token 을 받아오기 위해 권한 부여 흐름을 탈 필요가 없이 OIDC 와 연결해서 ID token 을 받아오면 됩니다
다만 인가서버에서 OIDC 와 연결해서 ID token 을 제공하는 전용 권한부여흐름을 지원하지 않을 수 있기 때문에 access token 요청하는 흐름의 과정에서 ID token 이 함께 포함되어 발급하는 식으로 처리가 되고 있다고 보시면 됩니다
authorization-server 라이브러리 질문이 있습니다.
0
74
1
loadUser 중 Missing attribute 'preferred_username' in attributes 에러 발생
0
74
2
JWT 조회 에 대한 질문
0
69
1
password grant 방식 에러 응답
0
85
3
FormLoginConfigure에서 생성하는 필터
0
75
2
현업에서 springboot를 3.5.5 를 사용해서 공부중인데...
0
282
2
Jdbc 관련 강의 및 깃헙 문의
0
75
1
OAuth2AuthorizedClient 이해 및 활용 강의 내용 질문
0
207
1
UserInfo 엔드포인트 요청 실습
0
72
1
RFC 문서에서의 AccessToken 발급 방식 궁금한점
0
148
1
강의자료.zip 를 다운로드 받았는데 압축이 풀리지 않습니다. 확인 부탁드려요
0
136
2
OIDC SSO 관련 질문 입니다.
0
129
1
AuthenticationEntryPoint 강의 누락 문의
0
120
1
cors설정방법
0
115
1
jwt decoder 토큰 검증 시 질문
0
218
1
클라이언트에서 userinfo 엔드포인트 호출 시 질문
0
183
2
JOSE 구성요소의 api에 관한 질문
0
138
2
스프링 부트 3버전으로 따라가시는 분들 참고하세요
1
524
1
CustomOAuth2AuthenticationFilter 구현 중 질문
0
144
2
AuthenticationManager 생성시점
0
116
1
FormLogin과 Oauth2Client 둘 중 사용하는 시점
0
125
1
postman userinfo 엔드포인트 질문
0
130
2
강의 수강신청하고 듣기 전입니다 질문있습니다.
0
113
1
인증 코드를 통해 발급 받은 토큰의 관리
0
198
1