[Security OAUTH2.0] Credential client, Public client

출처: https://learn.microsoft.com/en-us/entra/identity-platform/v2-oauth2-auth-code-flow

Public client

front channel 요청에서 바로 엑세스 토큰을 주기 때문에 보안 레벨이 낮다. client id만 있어도 된다. 이 과정은 implicit flow라고 한다.

 

Credential client

front channel에서는 엑세스 토큰 발급을 위한 code를 내려주며, 해당 code를 back channel에서 인가서버로 요청을 보내는데 이 때 client secret을 함께 보낸다. 그러고 나서 인가 서버가 검증을 한 뒤에 엑세스 토큰을 발급해주기 때문에 보안 레벨이 높다. Authorization code flow라고 한다. 리소스 서버에 자원 요청을 할 때 엑세스 토큰을 Authorization 헤더에 Bearer <token>으로 해서 보낸다. 이 방법은 Bearer authentication(혹은 token authentication)이라고 한다.