보안

OpenID Connect(이하 OIDC)는 권한 허가 프로토콜인 OAuth 2.0를 이용하여 만들어진 인증 레이어 입니다. OAuth는 위에서 언급했듯이, Authorization을 위한 기술이지 Authentication을 위한 기술은 아닙니다.OAuth에서 발급하는 Access Token은 일시적으로 특정 권한을 허가해준 토큰일 뿐이지 사용자에 대한 정보는 담고 있지 않습니다.Access Token을 발급하기 위해 사용자 인증을 하긴 하였으나 Access Token이 사용자 인증을 위해 사용되어선 안됩니다. 그래서 OIDC에서는 인증을 위해 ID Token이라는 토큰을 추가하였습니다. ※ ID TokenAccess Token이 Bearer 토큰 형식이었다면,ID Token은 JWT(JSON Web ..

참고 : OAuth 2.0 Simplified OAuth 2.0(Open Authorization 2.0, 이하 OAuth)는 “Authorization“을 위한 개방형 표준 프로토콜입니다.Third-Party App에게 리소스 소유자를 대신하여 리소스 서버에서 제공하는 자원에 대한 접근 권한을 위임하는 방식을 제공합니다.즉, 사용자의 동의를 받고 Third-Party App과 중요한 정보(계정)를 공유하지 않고도 자원에 접근할 수 있게 해줍니다.예를 들어 다음과 같은 경우를 예시로 들 수 있습니다.1.사용자는 3rd party app에 있는 “facebook 친구 리스트 import” 단자를 클릭함2.사용자가 Facebook에 성공적으로 로그인하면, Facebook 친구 목록에 접근하는 것을 허가할 것..

SAML은 인증 정보 제공자와, 서비스 제공자 간의 인증 및 인가 데이터를 교환하기 위한 XML기반의 표준 데이터 포맷입니다. SAML이 출현하기 이전, 기업들은 독자적인 인터페이스 또는 특정한 SSO솔루션을 사용하여 SSO를 구축해야 했습니다. SSO솔루션들은 Private망에서 인증정보를 Cookie에 담아 사용하는 등의 방법을 사용하였지만, Public 망에서는 보안적으로 문제가 있었습니다. SAML은 인증정보를 XML포맷으로 생성하고, 이 XML데이터를 암호화함으로써 제 3자에게 내용을 노출시키지 않고 최종 수신자에게 전달할 수 있습니다. 이 때 생성한 XML을 Assertion이라고 부릅니다. Assertion에는 ID공급자 이름, 발행일 및 만료일 같은 정보가 포함되어 있습니다. 항목별로 자세..

※ 개요＃서버한 번의(Single) 로그인 인증(Sign-On)으로 여러 개의 서비스를 추가적인 인증 없이 사용할 수 있는 기술인증은 하나의 시스템(인증 서버)에서 수행하고, 그 인증 서버가 서비스를 각각 담당하는 서버에 인증 정보를 알려주는 방식＃클라이언트개별 사이트 별로 아이디/패스워드를 만들게 되면 잊기 쉬워 번거로움간편 인증을 통해 쉽게 가입연동된 타 서비스에도 추가 로그인 없이 이용 가능  ※ 사용 예시대형 회사들의 계정으로 통합 로그인Gmail에 구글 계정으로 로그인을 하면, 유튜브, 구글 드라이브 등의 구글 서비스에 추가 로그인 없이 Gmail 로그인에 사용한 구글 계정을 동일하게 사용하는 것  ※ 작동원리＃Delegation Model권한을 얻으려는 서비스의 인증 방식을 변경하기 어려울 때..