authorization code flow
-
[Security OAUTH2.0] Credential client, Public client개발/Spring 2024. 2. 1. 01:07
Public client front channel 요청에서 바로 엑세스 토큰을 주기 때문에 보안 레벨이 낮다. client id만 있어도 된다. 이 과정은 implicit flow라고 한다. Credential client front channel에서는 엑세스 토큰 발급을 위한 code를 내려주며, 해당 code를 back channel에서 인가서버로 요청을 보내는데 이 때 client secret을 함께 보낸다. 그러고 나서 인가 서버가 검증을 한 뒤에 엑세스 토큰을 발급해주기 때문에 보안 레벨이 높다. Authorization code flow라고 한다. 리소스 서버에 자원 요청을 할 때 엑세스 토큰을 Authorization 헤더에 Bearer 으로 해서 보낸다. 이 방법은 Bearer authen..