<< 모바일 솔루션 [LookTel] | Home | REST 아키텍처 구축시 알아야 할 것들 >>

OAuth vs XAuth

아래 참조 사이트에서 참고하여 OAuth와 XAuth의 차이점을 설명하고, 개인적인 이슈 및 확장되는 흐름을 넣어 봤습니다.

1. OAuth 개요
 - 제휴 절차없이 Third Party(예-twtkr.com)어플에서 쉽게 Service Provider(예-twitter.com)의 컨텐츠를 활용(공유)하여 서비스를 만들게 하기위해서 만든 규약임.
 - OAuth 권한 관리쪽 개념이 강해 OpenID(인증)와는 구별됨
 - 프로세스
   . OAuth는 Third Party가 필요한 access token을 공유하기 위해 3단계 프로세스가 존재하는데, 비 인가된 request token 획득, 사용자로부터 권한을 인가받는 Authorize 단계, 인가된 접근 권한을 줄 수 있는 access token을 받는 3단계로 구성됨
   . OAuth의 프로세스는 대부분 브라우저 기반으로 서비스되는 콘텐츠에서 활성화됨(프로세스의 특성상 2번째 단계에서 사용자로부터 권한 인가를 받는 Authorize 단계가 있어서 그러함)
 - 아이디와 패스워드 입력 부분은 Service Provider에서 제공함(Third Party 관여 안함)
 
2. XAuth 개요
 - 출현 배경은 OAuth의 3단계 프로세스 방식이 브라우져 기반이어서 모바일이나, 데스크탑 어플 등의 클라이언트에서 활용하는데 한계가 대두됨.
 - 프로세스는 Third Party에서 아이디, 패스워드, 모드 정보를 Service Provider에 주면 바로 인가된 접근 권한을 줄 수 있는 access token을 제공하는 2단계로 구성됨.
 - XAuth가 OAuth WRAP/2.0으로 통합되어 OAuth 버전이 업데이트 중임(draft)
 - 아이디와 패스워드 입력 부분은 Third Party에서 제공함
 - 개인적으로 생각하는 이슈
   . OAuth는 아이디와 패스워드 정보를 Service Provider에서 직접 사용자로부터 입력 받는데 반해, XAuth는 제휴가 안된 Third Party에서 직접 아이디/패스워드를 입력하여 Service Provider로 넘어옴으로 인한, 악의적인 Third Party일 경우 아이디/패스워드가 유출될 가능성 존재
 
3. 요약
 - 브라우저 기반일 경우 OAuth 표준을 사용하면서 모바일이나 클라언트 등에는 XAuth 표준을 활용하여 서비스의 진입접을 확대하는 프로바이더를 구성해야함.
 - OAuth표준이 Open Stack 진영에서 두각을 나타내면서, 기존 서비스 영역 뿐만 아니라, OAuthIMAP(Google)을 통한 메일 공유, 더 나아가 XMPP와 결합한 메신저 등의 커뮤니케이션 영역으로 확산될 것으로 예측됨.
 - 또한 Identity 진영에서 본다면, IDP as a Service 형태의 비즈니스 모델로도 가능성이 있어 보임.

[참조 사이트]
Tags : , ,



Add a comment Send a TrackBack