표준 리다이렉트 플로우로 풀리지 않는 인증 시나리오를 위한 고급 OAuth 메커니즘을 정리합니다. Device Authorization Grant(RFC 8628), CIBA의 poll/ping/push 모드, DPoP(RFC 9449)의 proof 구조와 replay 방어, Keycloak 설정, 그리고 AI 에이전트와 CLI 도구 인증으로 device flow가 재조명되는 2026년의 맥락까지 다룹니다.
매일 수십억 번 실행되지만 대부분 개발자가 피상적으로만 이해하는 프로토콜, OAuth 2.0과 OIDC. 이 글은 처음부터 해부합니다. OAuth 2.0의 4대 flow와 각각의 용도, PKCE가 왜 필수가 됐는지, JWT의 구조와 함정, OIDC의 ID Token vs Access Token, Discovery와 JWKS, State/Nonce로 CSRF 방어, mTLS와 DPoP로 token binding, OAuth 2.1의 변화, FAPI(금융급 API) 프로파일, 그리고 실무에서 흔한 보안 실수와 대응까지 — 인증/인가 시스템을 제대로 이해하고 싶은 엔지니어를 위한 종합 가이드입니다.