qkrgksqkr
10
2021-08-03 19:15:00
1
133

OAuth2.0 인증서버 구현시 Scope에 대한 궁금증이있습니다.


안녕하세요

개발하며 하루하루 근근히 살아가는 개발자입니다.
이번에 Oauth2.0 서버 구현을 하고있는데, "Scope"에 대해 궁금증이 있습니다.
이런저런 설명을 보면
제한된 리소스에 접근하기 위해서는 Scope에 있는 값을 가지고, 접근할수 있는지 없는지 검증(Validation)한다.
이런 내용인듯한데, 여기서 궁금한게,
리소스를 가지고있는 리소스 서버(일반적인 RestAPI)는 그럼 아래 순서로 (Validation) 하는것인가요?


a. 리소스 서버로 리소스 요청 API가 AccessToken과 함께온다.
b. 리소스 서버는 인증서버로 요청을 보내토큰을 검증 한다.
c. 리소스 서버는 인증서버로 요청을 보내토큰 내용을 확인하여 Scope값을 알아낸다.
d. 리소스 서버는 구현된 API와 Scope를 비교하여 Validation을 판단하여 정상응답 or 에러응답(권한없음)을 발생한다,

여기서 질문이..

1 .위 과정이라면 4번에서, API와 Scope의 허용관계(?)를 관리하는 주체는 리소스 서버인가요??
2. 관리한다면 API -- Scope 에 매핑정보를 가지고있어야 할듯한데, DB에가지고있어야하나요.. 메모리에      가지고있어야하나요??

열심히 구글링하다 도저히 못찾아서 여기 질문남깁니다ㅜ


0
  • 답변 1

  • kenu
    56k
    2021-08-03 20:05:20

    1. 데이터를 갖고 있는 주체가 리소스 서버

    2. DB가 주류인데, 메모리 캐시를 이용할 수도 있다

    이게 상식적이라고 생각합니다.

    OAuth2 Overview | SoapUI

  • 로그인을 하시면 답변을 등록할 수 있습니다.