구글 OAuth 2.0을 활용한 인증 및 권한 부여

F-Lab : 상위 1% 개발자들의 멘토링

2024-06-29

AI가 제공하는 얕고 넓은 지식을 위한 짤막한 글입니다!

OAuth 2.0 소개

OAuth 2.0은 인터넷 사용자들이 비밀번호를 제공하지 않고도 타사 애플리케이션에 자신의 정보에 접근할 수 있도록 허용하는 인증 프레임워크입니다.

이 프레임워크는 주로 웹 애플리케이션과 모바일 애플리케이션에서 사용되며, 구글, 페이스북, 트위터 등 많은 대형 서비스에서 채택하고 있습니다.

OAuth 2.0의 주요 개념은 '액세스 토큰'입니다. 이 토큰은 사용자가 애플리케이션에 접근할 수 있는 권한을 부여받았음을 나타냅니다.

왜냐하면 OAuth 2.0은 사용자의 비밀번호를 직접 다루지 않기 때문에 보안성이 높기 때문입니다.

이 글에서는 구글 OAuth 2.0을 활용하여 인증 및 권한 부여를 구현하는 방법에 대해 알아보겠습니다.

OAuth 2.0의 기본 흐름

OAuth 2.0의 기본 흐름은 다음과 같습니다:

1. 사용자가 애플리케이션에 로그인 요청을 합니다.

2. 애플리케이션은 구글 인증 서버로 리디렉션합니다.

3. 사용자는 구글 로그인 페이지에서 인증을 완료합니다.

4. 구글은 애플리케이션으로 리디렉션 URI를 통해 인증 코드를 전달합니다.

왜냐하면 이 과정에서 사용자의 비밀번호가 애플리케이션에 직접 전달되지 않기 때문입니다.

구글 OAuth 2.0 설정

구글 OAuth 2.0을 사용하기 위해서는 먼저 구글 개발자 콘솔에서 프로젝트를 생성하고, OAuth 2.0 클라이언트를 설정해야 합니다.

1. 구글 개발자 콘솔에 접속하여 새로운 프로젝트를 생성합니다.

2. 'OAuth 동의 화면'을 설정합니다. 여기서 애플리케이션 이름, 지원 이메일, 승인된 도메인 등을 입력합니다.

3. '자격 증명' 메뉴에서 'OAuth 클라이언트 ID'를 생성합니다. 이때 승인된 리디렉션 URI를 입력해야 합니다.

왜냐하면 구글은 승인된 리디렉션 URI로만 인증 코드를 전달하기 때문입니다.

OAuth 2.0 구현 예제

다음은 구글 OAuth 2.0을 활용한 인증 구현 예제입니다:

const express = require('express');
const axios = require('axios');
const app = express();

app.get('/auth/google', (req, res) => {
    const redirectUri = 'https://yourapp.com/auth/google/callback';
    const clientId = 'YOUR_CLIENT_ID';
    const scope = 'https://www.googleapis.com/auth/userinfo.profile';
    const authUrl = `https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=${clientId}&redirect_uri=${redirectUri}&scope=${scope}`;
    res.redirect(authUrl);
});

app.get('/auth/google/callback', async (req, res) => {
    const code = req.query.code;
    const tokenResponse = await axios.post('https://oauth2.googleapis.com/token', {
        code,
        client_id: 'YOUR_CLIENT_ID',
        client_secret: 'YOUR_CLIENT_SECRET',
        redirect_uri: 'https://yourapp.com/auth/google/callback',
        grant_type: 'authorization_code'
    });
    const accessToken = tokenResponse.data.access_token;
    res.send(`Access Token: ${accessToken}`);
});

app.listen(3000, () => {
    console.log('Server started on http://localhost:3000');
});

왜냐하면 이 예제는 구글 OAuth 2.0의 기본 흐름을 잘 보여주기 때문입니다.

OAuth 2.0의 보안 고려사항

OAuth 2.0을 구현할 때는 보안에 대한 고려가 매우 중요합니다.

1. 리디렉션 URI는 반드시 HTTPS를 사용해야 합니다.

2. 액세스 토큰은 로컬 스토리지나 세션 스토리지에 저장하지 말고, 서버 측에서 관리하는 것이 좋습니다.

3. CSRF 공격을 방지하기 위해 상태 매개변수를 사용해야 합니다.

왜냐하면 OAuth 2.0은 사용자의 민감한 정보를 다루기 때문입니다.

결론

이 글에서는 구글 OAuth 2.0을 활용한 인증 및 권한 부여에 대해 알아보았습니다.

OAuth 2.0은 사용자 비밀번호를 직접 다루지 않기 때문에 보안성이 높습니다.

구글 개발자 콘솔에서 프로젝트를 생성하고, OAuth 클라이언트를 설정하는 방법을 배웠습니다.

또한, 간단한 예제를 통해 OAuth 2.0의 기본 흐름을 이해할 수 있었습니다.

왜냐하면 이 모든 과정이 실제 애플리케이션에서 어떻게 구현되는지를 보여주기 때문입니다.

이 컨텐츠는 F-Lab의 고유 자산으로 상업적인 목적의 복사 및 배포를 금합니다.