Client Credentials GrantOAuth 2.0에서 사용자가 개입하지 않고 클라이언트 애플리케이션자신의 자격 증명(Client ID와 Client Secret)을 사용해 액세스 토큰을 발급받는 인증 방식입니다.

주요 목적: 서버 간 통신(Server-to-Server)이나 사용자가 필요 없는 작업에서 사용됩니다.

1. Client Credentials Grant 개요

  • 사용자 인증이 필요하지 않습니다.
  • 클라이언트 애플리케이션 자체가 인증 서버에 자신의 자격 증명을 사용해 토큰을 발급받습니다.
  • 주로 백엔드 서비스 또는 마이크로서비스 간 통신에서 사용됩니다.

2. Client Credentials Grant 흐름

단계별 흐름

  1. 클라이언트가 토큰 요청

    • 클라이언트는 인증 서버에 Client IDClient Secret을 사용해 액세스 토큰을 요청합니다.

    요청 예시:

    POST /token
Host: auth-server.com
Content-Type: application/x-www-form-urlencoded

grant_type=client_credentials&
client_id=example_client&
client_secret=example_secret

    파라미터 설명:

    • grant_type=client_credentials: Client Credentials Grant 사용을 명시.
    • client_id: 클라이언트 애플리케이션의 고유 ID.
    • client_secret: 클라이언트 애플리케이션의 비밀키.

  1. 인증 서버가 토큰 발급

    • 인증 서버는 Client IDClient Secret을 검증한 후, 클라이언트에게 액세스 토큰을 발급합니다.

    응답 예시:

    {
  "access_token": "ACCESS_TOKEN",
  "token_type": "Bearer",
  "expires_in": 3600
}

    응답 필드:

    • access_token: 리소스 서버에 접근할 때 사용할 토큰.
    • token_type: 토큰 유형 (Bearer).
    • expires_in: 토큰의 유효 시간(초 단위).

  1. 클라이언트가 리소스 서버에 요청

    • 클라이언트는 발급받은 액세스 토큰을 사용해 리소스 서버에 요청합니다.

    요청 예시:

    GET /resource
Host: resource-server.com
Authorization: Bearer ACCESS_TOKEN

  2. 리소스 서버가 응답

    • 리소스 서버는 액세스 토큰의 유효성을 확인한 후 보호된 리소스를 반환합니다.

3. Client Credentials Grant 사용 사례

  1. 서버 간 통신 (Server-to-Server)

    • 백엔드 서버가 다른 서비스나 API에 요청할 때 사용됩니다.
    • 예:
      • A 서버가 B 서버의 API를 호출해 데이터를 가져올 때.
      • 마이크로서비스 간 통신에서 서로의 리소스에 접근할 때.

  2. 백그라운드 작업

    • 사용자 개입 없이 클라이언트가 리소스를 요청해야 하는 경우.
    • 예:
      • 주기적으로 데이터를 동기화하는 작업.
      • 시스템 자체에서 실행되는 배치 작업.

  3. API 호출

    • 클라이언트 애플리케이션이 제3자의 API를 호출할 때 사용됩니다.
    • 예:
      • 클라우드 서비스 API 호출 (AWS, Azure 등).

4. 보안 고려사항

  1. Client Secret 보호

    • 클라이언트 비밀키(Client Secret)를 안전하게 저장해야 합니다.
    • 공개 클라이언트(모바일 앱, SPA 등)에서는 사용할 수 없습니다.

  2. HTTPS 사용

    • Client IDClient Secret이 네트워크를 통해 노출되지 않도록 HTTPS를 사용해야 합니다.

  3. 권한 최소화

    • 클라이언트가 필요한 리소스에만 접근할 수 있도록 스코프(Scope)를 설정해야 합니다.

  4. 토큰 유효 시간 관리

    • 액세스 토큰의 만료 시간을 짧게 설정하고, 필요 시 리프레시 토큰 전략을 사용합니다.

5. 다른 그랜트 타입과의 비교

그랜트 타입 사용자 개입 사용 사례
Authorization Code Grant 있음 사용자 인증 및 권한 부여가 필요한 경우
Client Credentials Grant 없음 서버 간 통신 및 백그라운드 작업
Implicit Grant 있음 (현재 권장되지 않음)
Password Grant 있음 (현재 권장되지 않음, 보안 위험이 큼)

6. 결론

Client Credentials Grant사용자 개입이 필요 없는 상황에서 사용되는 OAuth 2.0의 인증 방식입니다.

  • 서버 간 통신이나 백그라운드 작업에서 유용하게 사용됩니다.
  • 클라이언트는 자신의 Client IDClient Secret으로 인증 서버에 액세스 토큰을 요청하고, 이를 통해 리소스 서버에 접근합니다.
  • 보안 관리를 위해 HTTPS를 사용하고 Client Secret을 안전하게 보호해야 합니다.

'MSA' 카테고리의 다른 글

Authorization Code Grant  (0) 2024.12.17
Proof Key for Code Exchange (PKCE, 픽시)  (0) 2024.12.17
투명 토큰(Transparent Token), 불투명 토큰(Opaque Token)  (1) 2024.12.17
스프링 웹 MVC의 아규먼트 리졸버(Argument Resolver)  (1) 2024.12.16
RestTemplate(동기,블로킹) & Kafka(비동기,논블로킹)  (0) 2024.12.16

+ Recent posts

티스토리툴바