OAuth 2.0 (Open Authorization)
OAuth 2.0은 인터넷 사용자가 비밀번호를 제공하지 않고, 다른 웹사이트나 애플리케이션의 기능/정보에 접근할 수 있는 권한을 위임하는 개방형 표준 프로토콜입니다.
이지페이 및 핀테크 서비스에서는 주로 API 권한 획득이나 간편 로그인(카카오, 네이버 등) 구현 시 사용됩니다.
🔑 핵심 개념
1. 권한 위임 (Delegation)
사용자(Resource Owner)가 자신의 비밀번호를 제3자 앱(Client)에 알려주는 대신, Access Token이라는 임시 권한 증표를 발급하여 제한된 접근 권한만 부여합니다.
2. Access Token (접근 토큰)
실제 비밀번호 대신 API 서버에 제시하는 출입증입니다.
- 유효 기간: 보안을 위해 짧은 수명을 가집니다.
- Scope (범위): 토큰 하나로 모든 정보를 볼 수 있는 것이 아니라, 허용된 범위(예: 결제 내역 조회 O, 환불 X) 내에서만 동작합니다.
3. Refresh Token (재발급 토큰)
Access Token이 만료되었을 때, 사용자가 다시 로그인할 필요 없이 새로운 Access Token을 발급받기 위해 사용하는 장기 유효 토큰입니다.