Oauth

매일 수십억 번 실행되지만 대부분 개발자가 피상적으로만 이해하는 프로토콜, OAuth 2.0과 OIDC. 이 글은 처음부터 해부합니다. OAuth 2.0의 4대 flow와 각각의 용도, PKCE가 왜 필수가 됐는지, JWT의 구조와 함정, OIDC의 ID Token vs Access Token, Discovery와 JWKS, State/Nonce로 CSRF 방어, mTLS와 DPoP로 token binding, OAuth 2.1의 변화, FAPI(금융급 API) 프로파일, 그리고 실무에서 흔한 보안 실수와 대응까지 — 인증/인가 시스템을 제대로 이해하고 싶은 엔지니어를 위한 종합 가이드입니다.

OAuth 2.0의 동작 원리부터 Authorization Code, PKCE, Refresh Token, OpenID Connect까지. 왜 Google 로그인 버튼 하나에 이렇게 복잡한 프로토콜이 필요한지, 코드와 시퀀스로 완전 해부합니다.