🔑 OAuth를 5살 아이에게 설명하듯이

Source: Dev.to

Valet Key Analogy

고급 레스토랑에 가서 주차를 직접 찾고 싶지 않을 때,
발레 파킹 직원에게 차 열쇠를 건네지만 트렁크를 열거나 선글라스를 훔칠까 걱정됩니다.

해결책: 발레 키 – 다음과 같은 특수 키:

• ✅ 차 시동을 걸 수 있음
• ✅ 짧은 거리만 이동 가능
• ❌ 트렁크를 열 수 없음
• ❌ 글러브 박스를 열 수 없음

OAuth도 웹사이트에서 같은 방식으로 동작합니다.

왜 비밀번호를 공유하면 안 될까?

잘못된 방법: 앱에 트위터 비밀번호를 알려줌.

• 앱이 모든 DM을 읽을 수 있음.
• 비밀번호를 변경할 수 있음.
• 사용자를 대신해 무엇이든 할 수 있음.

올바른 방법: OAuth 사용.

1. 앱이 트위터에 제한된 접근 권한을 요청.
2. 트위터가 당신에게 “이 앱이 당신을 대신해 게시하도록 허용하시겠습니까?” 라고 물음.
3. 당신이 예라고 답함.
4. 트위터가 허용된 권한 내에서만 게시할 수 있는 특수 토큰을 반환.
5. 앱은 토큰을 사용해 게시하고, 비밀번호는 전혀 알 수 없음.

OAuth Flow (Simplified)

App → Twitter: "I need to post for this user"
Twitter → User: "Do you allow this?"
User → Twitter: "Yes, allow posting"
Twitter → App: "Here’s a limited token"
App → Twitter: (uses token to post)

Key Takeaways

• OAuth는 앱이 제한된 권한으로 당신의 계정에 접근하도록 허용합니다.
• 비밀번호를 노출하지 않고 **인증(authorization)**을 제공합니다.
• “Continue with Google”은 종종 OpenID Connect를 사용하며, 이는 OAuth 위에 구축된 기술입니다.