OAuth 2.0

서드파티 앱이 사용자 리소스에 접근하도록 ‘권한’을 위임하는 프레임워크

분야: 보안/인증 시리즈: 인증/인가 기본기 securityauthoauth

OAuth 2.0은 “로그인” 자체보다 권한 위임(Authorization delegation) 을 위한 표준입니다.

실무 포인트

  • OAuth2는 프로토콜 묶음이고, 구체 플로우(Authorization Code 등)를 선택해야 합니다.
  • “소셜 로그인”은 보통 OAuth2 + OIDC(OpenID Connect) 조합입니다.

관련 문서

Brute force
비밀번호/토큰을 무차별 대입으로 맞추려는 공격(로그인/OTP/리셋 링크)
Content-Security-Policy (CSP)
XSS를 줄이기 위해 ‘어떤 리소스를 어디서 로드해도 되는지’를 선언하는 보안 정책(HTTP 헤더)
Cookie
브라우저가 서버에 자동으로 보내는 작은 상태 정보
CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
HSTS
브라우저에게 ‘앞으로는 무조건 HTTPS로만 접속하라’고 강제하는 보안 정책(Strict-Transport-Security)
HttpOnly
브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)