oauth
-
OAuth 2.0: 비밀번호를 넘기지 않고 권한만 빌려주는 방법IT 2026. 3. 20. 21:00
들어가며 — 비밀번호를 알려줘야만 했던 시절2007년쯤, 웹 서비스들이 서로 연동되기 시작했다. "이 앱에서 내 Google 연락처를 불러올게요"라는 기능이 등장한 것이다. 그런데 문제가 있었다. 연락처를 불러오려면 내 Google 비밀번호를 그 앱에 직접 입력해야 했다.잠깐 비유를 들어보자. 집 열쇠를 택배기사에게 맡기는 상황을 상상해보라. 택배기사는 현관에 물건만 놓으면 되는데, 내 집 마스터키를 통째로 넘겨야 한다. 기사가 나쁜 마음을 먹으면? 열쇠를 복사하면? 이게 바로 OAuth 이전 시대의 현실이었다.사용자 비밀번호가 제3자 앱 서버에 저장됨 → 해킹 시 비밀번호 유출앱에 모든 권한이 부여됨 → 연락처만 필요한데 메일, 드라이브까지 접근 가능권한 회수가 불가능 → 비밀번호를 바꾸는 수밖에 없음..