OAuth2 Grant Types

OAuth2에서는 여러 가지 Grant Type(권한 부여 유형)을 제공하며, 이들은 각각 다른 시나리오에서 사용된다.

서버 사이드 애플리케이션이 사용자를 대신해서 인증 서버로부터 인증 코드를 받아오고, 이를 다시 인증 서버에 전송하여 액세스 토큰을 받아오는 방식이다. 이 방식은 웹 애플리케이션에서 주로 사용된다.

클라이언트 사이드 애플리케이션, 즉 자바스크립트와 같이 사용자의 브라우저에서 직접 실행되는 애플리케이션에서 사용된다. 이 방식은 인증 코드를 거치지 않고 바로 액세스 토큰을 받아오지만, 액세스 토큰이 브라우저에 노출되는 보안 상의 문제가 있다.

클라이언트가 사용자의 아이디와 비밀번호를 받아 직접 인증 서버에 전송하여 액세스 토큰을 받아오는 방식이다. 이 방식은 신뢰할 수 있는 클라이언트에서 사용되며, 사용자의 아이디와 비밀번호를 애플리케이션이 다루기 때문에 보안 상의 위험이 있다.

클라이언트 자체가 리소스 서버에 접근하기 위해 액세스 토큰을 요청하는 방식이다. 이 방식은 클라이언트가 사용자를 대신해서 리소스 서버에 접근해야 할 때 사용된다.

입력 기능이 제한된 디바이스(예: 스마트 TV, IoT 디바이스 등)에서 사용된다. 이 방식에서는 디바이스가 인증 서버로부터 장치 코드를 받아 사용자에게 보여주고, 사용자는 다른 기기에서 이 코드를 이용하여 인증을 완료하게 된다.

액세스 토큰이 만료되었을 때, 새로운 액세스 토큰을 받아오는 방식이다. 이 방식에서는 처음에 인증 서버로부터 액세스 토큰과 함께 리프레시 토큰을 받아온다. 이후 액세스 토큰이 만료되면, 리프레시 토큰을 이용하여 새로운 액세스 토큰을 받아올 수 있다.

각 Grant Type은 사용하는 애플리케이션의 유형과 필요한 보안 수준 등에 따라 선택된다. 이는 OAuth2가 다양한 시나리오에 대응할 수 있도록 만들어진 프로토콜이라는 것을 보여준다.