인가 승인 유형
클라이언트가 접근 토큰을 요청하기 위해서는 자원 소유자의 인가를 받아야 하는데 OAuth는 서로 다른 용도를 위해 다양한 인가 승인 유형을 제공
OAuth에서 정의한 4가지 인가 승인 유형
-
- 엡 서버 상에서 동작하는 애플리케이션
- 가장 많이 사용되는 유형
- 암시적 승인 (Implicit Grant)
- 모바일 앱 또는 단말기에서 동작하는 웹 애플리케이션
-
- 단말기 OS 또는 높은 신뢰 관계의 애플리케이션
- 다른 유형들을 사용할 수 없는 경우에만 사용
-
- 애플리케이션 API 접근
- 신뢰하는 클라이언트만 사용
인가 승인 유형 선택
클라이너트가 특정 자원소유자를 대신하여 동작하고, 사용자가 웹 브라우저를 사용한다면 리다이렉트 기반 승인 방식을 사용할 수 있다.
클라이언트가 브라우저 자체에서 생명주기를 가진다면 암시적 승인 방식을 선택하면 좋고, 그렇지 않다면 가장 안전하고 유연한 인가 코드 승인 방식을 사용하는 것이 좋다.