| 단계 | 설명 |
|---|---|
| ① 권한 요청 | 클라이언트가 사용자를 Authorization Server로 리다이렉트 (scope, redirect_uri, state 포함) |
| ② 사용자 동의 | 사용자가 로그인·권한 동의 → Authorization Code 발급 |
| ③ 코드 교환 | 클라이언트가 Authorization Code + Client Secret으로 Token Endpoint에 Access Token 요청 |
| ④ 토큰 사용 | Access Token으로 Resource Server API 호출 |
| ⑤ 갱신 | Refresh Token으로 Access Token 재발급 (만료 시) |
필요성: 모바일·SPA 앱은 Client Secret을 안전하게 저장할 수 없어 Authorization Code 가로채기 공격에 취약하다. PKCE는 이를 방지한다.
동작 방식:
효과: Authorization Code를 가로채도 Code Verifier 없이는 Access Token 획득 불가
요양원 선택 전 반드시 확인해야 할 체크리스트를 공개합니다. 공식 평가 자료 조회법, 방문 시 확인…
공공기관 채용 비리의 실태와 피해 지원자의 대응법을 정리했습니다. 채용 비리 신고 방법, 공익신고자 보호제도, 취준생…
주식 손실을 세금 절약에 활용하는 합법적 방법을 공개합니다. 해외주식 손익통산, ISA 계좌 활용, 연금계좌 절세까지…
배달이 예상 시간보다 크게 늦으면 취소·환불을 요청할 수 있습니다. 배달앱별 지연 취소 방법과 잘못 배달됐을…
통신비 절약의 핵심은 요금제 최적화입니다. 내 데이터 사용량 확인법, 알뜰폰 전환 비교, 위약금 없이 요금제…