[OAuth 2.0] Authorization Code Grant 전체 흐름 한 눈에 보기

이 글에서는 RFC 6749를 기반으로 Authorization Code Grant의 전체 흐름을 본 후 각 엔드포인트가 어떤 책임을 가지는지 단계적으로 분석해보려고 한다. Authorization Code Grant의 전체 흐름은 아래와 같다.Authorization Code Grant는 크게 두 개의 엔드포인트를 중심으로 동작한다. 바로 Authorization Endpoint와 Token Endpoint이다. 세부적으로 Authorization Endpoint는 다음과 같다.클라이언트 식별 및 redirect_uri 검증사용자 인증Authorization Code 발급→ 이 단계는 브라우저를 통해 사용자와 직접 상호 작용하는 구간이다. 세부적으로 Authorization Token Endpoint는..

• format_list_bulleted RFC/RFC 6749 기반 OAuth 2.0 서버 구현
• · 2026. 2. 22.
• textsms

[OAuth 2.0] 나는 왜 OAuth를 직접 구현해보려고 했는가?

이 시리즈는 OAuth를 사용하는 방법을 다루는 글이 아니라 RFC를 기반으로 Authorization Server가 어떤 책임을 가지는지 이해하고 이를 Spring 구현과 비교하며 재구성해보는 기록 OAuth 서버를 구현해보려고 한 계기다음은 RFC 6749를 번역한 글 카테고리이다.https://wo-dbs.tistory.com/category/RFC/OAuth 2.0 'RFC/OAuth 2.0' 카테고리의 글 목록멋진 개발자가 되고 싶다!wo-dbs.tistory.com 소설 로그인은 2번 정도 개발을 해보았지만 세부적으로 어떻게 작동되는지 잘 몰라 이번에 RFC 6749를 번역하면서 어떻게 동작하는지도 자세히 알게 되었다. 하지만 소셜 로그인이 진행되는 도중 인가 서버가 어떻게 처리를 하는지 좀 ..

• format_list_bulleted RFC/RFC 6749 기반 OAuth 2.0 서버 구현
• · 2026. 2. 22.
• textsms

[OAuth 2.0] 3번 브라우저의 GET or POST - doFilterInternal

다음 코드는 이 HTTP 요청이 OAuth 인가 엔드포인트 요청인가?를 판단하는 조건 객체다.private final RequestMatcher authorizationEndpointMatcher;→ HttpServletRequest → true / false 를 반환하는 판별기 생성자public class OAuth2AuthorizationEndpointFilter extends OncePerRequestFilter { /** * 이 HTTP 요청이 OAuth 인가 엔드포인트 요청인가?”를 판단하는 조건 객체 */ private final RequestMatcher authorizationEndpointMatcher; public OAuth2AuthorizationEnd..

• format_list_bulleted RFC/OAuth 2.0
• · 2026. 2. 4.
• textsms

[OAuth 2.0] OAuth Client 테이블 설계(비밀 클라이언트 기준)

테이블 설계 1. oauth_clients이 테이블은 클라이언트를 식별하기 위한 테이블 2. oauth_client_redirect_uris 3. oauth_client_scopes이 테이블은 클라이언트 권한 더미 데이터 SQLinsert into oauth_clients (client_id, is_active, client_secret, client_name)values ('test-client', true, '{noop}secret', 'Test Client');insert into oauth_client_redirect_uris (client_id, redirect_uri)values ('test-client', '');insert into oauth_client_scopes (client_id, ..

• format_list_bulleted RFC/OAuth 2.0
• · 2026. 2. 4.
• textsms

[OAuth 2.0] 인메모리 DB 사용자 테스트

http://localhost:8080/oauth2/authorize 로 접속을 하면 로그인 세션이 유지되지 않는 사용자는 /login 으로 넘어가고 세션이 있으면 응답을 받게 되는 구조로 현재 만들어졌다 이것을 테스트 해보자 http://localhost:8080/oauth2/authorize 접속 다음과 같이 로그인 페이지로 리다이렉션 되어서 로그인 페이지가 뜬다. 로그인을 실패했을 경우우리가 다음과 같이 설정을 해놓았기 때문에 Spring 시큐리티가 로그인 실패를 표시하기 위해 자동으로 붙여주는 쿼리 파라미터임시큐리티의 기본 실패 처리는 다음과 같이 설정되어 있다.로그인 실패 → /login?error 로 리다이렉트 그러면 다음과 같이 /error를 설정해놓은 게 있었는데 /error는 애플리케이션..

• format_list_bulleted RFC/OAuth 2.0
• · 2026. 2. 4.
• textsms

[OAuth 2.0] Spring Security 기본 설정(FilterChain + formLogin)

보안 규칙(필터 체인) 설계도@Configurationpublic class SecurityConfig { @Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .csrf(csrf -> csrf.disable()) .authorizeHttpRequests(auth -> auth .requestMatchers("/login", "/error").permitAll() .anyRequest().authenticated() ) .formLogin(Cust..

• format_list_bulleted RFC/OAuth 2.0
• · 2026. 2. 4.
• textsms