OAuth 3

OpenID Connect

학습 목표OpenID Connect(OIDC) 가 OAuth 2.0 위 identity layer임을 설명할 수 있다.ID token과 access token의 목적·검증 차이를 구분할 수 있다.Authorization Code + PKCE로 OIDC 로그인 흐름을 단계별로 설명할 수 있다.nonce·iss·aud·exp 검증과 UserInfo endpoint 역할을 설명할 수 있다.문제 상황OAuth access token만 받고 sub를 로그인 ID로 썼다access token은 API 위임용 — 신원 증명 표준이 아님Google "로그인" 후 이메일을 UserInfo 없이 access token payload에서 읽었다provider마다 형식이 다르고 검증 규칙도 없다ID token 서명 검증 없이..

OAuth 2.0

학습 목표OAuth 2.0이 위임(delegation) 프레임워크임을 설명할 수 있다 (인증 프로토콜이 아님).Resource Owner·Client·Authorization Server·Resource Server 역할을 구분할 수 있다.grant type별 용도와 권장·비권장을 설명할 수 있다.Authorization Code + PKCE 흐름을 단계별로 설명할 수 있다.문제 상황사진 앱이 구글 비밀번호를 직접 받는다앱이 털리면 본계정까지 노출SPA가 client_secret을 프론트 번들에 넣었다공개 클라이언트에는 secret이 없다고 봐야 한다모바일 앱이 implicit flow로 URL fragment에 토큰을 받았다로그·리퍼러·브라우저 히스토리에 유출access token 하나로 모든 API에..

보안 오리엔테이션

학습 목표CIA(기밀성·무결성·가용성)를 설명할 수 있다.인증(Authentication)과 인가(Authorization)를 구분할 수 있다.위협 모델링의 기본 질문(STRIDE 개요)을 설명할 수 있다.애플리케이션 보안에서 자주 마주치는 위협 유형을 나열할 수 있다.19편 로드맵을 보고 학습 순서를 잡을 수 있다.1. 애플리케이션 보안이란?보안(Security)자산을 위협으로부터 보호하는 활동애플리케이션 보안은 웹·API·백엔드 계층에 초점자산(Asset)사용자 데이터, 결제 정보, API 키, 비즈니스 로직무엇을 지킬지 먼저 정해야 통제가 설계된다위협(Threat)자산에 해를 끼칠 수 있는 의도·사건버그와 다름 — 악의적·오용 가능한 공격 경로이 시리즈 범위네트워크 방화벽·물리 보안 전체가 아니라 ..