OAuth2 IN ACTION 서평
Oauth2 IN ACTION(저스틴 리처, 안토니오 산소) 서평
OAuth에 대해서 크게 잘못알고 있다는걸 깨닫게해준 책이었다. 단순히 카카오톡이나 구글 인증을 대신해주는 도구 정도로만 생각했었는데, 단순한 인증 방식이 아닌 넓은 범위의 기술이었다는걸 알 수 있었다. OAuth 기술에 기여하고 있는 저자들의 경험에서 나오는 다양한 예제와 설명들을 통해 기초부터 응용할 수 있는 지식까지 다루는 점이 좋았다. 책을 읽는 내내 기존에 알고 있던 네트워크 지식들이 OAuth 프로토콜에서 어떻게 사용되는지 알아가는 재미가 있었고, Bearer 토큰과 같이 그 의미를 잘 모르고 사용하던 부분들에 대한 설명들이 있어 도움이 됐다.
특히 직접 OAuth 프로토콜을 구축해가는 과정을 보여주며 설명하는 과정에서 리소스 소유자와 클라이언트, 인가서버와 리소스 서버간에 요청과 응답이 오가는걸 보면서 인가 코드, 토큰 등이 어떤 플로우로 전달되고 사용되는지 알 수 있었다. 간단해 보이는 OAuth 인증 뒤에서 많은 일들이 일어나고 있고, 다양한 방식으로 이러한 인증/인가 플로우를 구현할 수 있다는 것을 알게 됐다.
또한 보안 관련 챕터를 통해 인증, 인가 과정에서 발생하는 보안 문제들을 알려주고 OAuth는 보안을 강화하면서 어떻게 구현하기 쉽게 만들려 했는지 알려준다. 보안 취약점들은 일반 서비스에서도 발생하기 때문에 어떤 방식으로 탈취가 이루어지고 취약점이 있는지 알아볼 수 있어 도움이 됐다.
코드숨에서 7주간(2024.02.07 ~ 2024.03.20) 스터디에 참여했다. 이번 스터디는 문제도 같이 풀어보고, 중요한 부분들을 짚고 넘어가서 좋았다.
함께 성장하고 싶다면 코드숨 스터디를 추천한다.