인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, > 접근 위임을 위한 개방형 표준이다.
위키백과 참조

1. Resource Owner

   • 보호된 리소스(사용자의 계정정보)를 소유한 사용자
   • ex) 웹 서비스 사용자

2. Client

   • 리소스 소유자의 데이터를 접근하려는 애플리케이션
   • 클라이언트는 리소스 서버에 요청을 보내 데이터를 가져오기 위해 권한 부여를 받야아함.
   • ex) 웹/모바일 애플리케이션

3. Authorization Server

   • 리소스 소유자가 인증된 후 클라이언트에게 액세스 토큰을 발급하는 서버
   • 클라이언트의 자격 증명 및 권한 부여 요청을 처리함.
   • ex) OAuth 제공업체(naver ..)의 인증서버

4. Resource Server

   • 클라이언트가 요청하는 보호된 리소스를 실제로 저장하고 있는 서버
   • 클라이언트가 제공하는 액세스 토큰을 확인한 후 리소스를 반환함.
   • ex) api서버

5. Access Token

   • 클라이언트가 리소스 서버에 접근할 수 있도록 하는 인증 토큰
   • 권한 서버에 의해 발급되며, 제한된 기간 동안 유효
   • ex) JWT

6. Refresh Token

   • 액세스 토큰이 만료되었을 때, 클라이언트가 새로운 액세스 토큰을 요청할 수 있도록 하는 토큰
     
     

• 네이버는 OAuth2.0 공식 지원대상이 아니라서 별도로 "naver"라는 provider를 등록해줘야함
• 네이버개발자센터의 callback 주소와 yml의 redirect의 주소는 같아야함
  
  >

1. Resource Owner(사용자)가 client 애플리케이션에 접근

사용자가 클라이언트 애플리케이션에서 네이버로 로그인하기 위해 로그인 버튼을 클릭함.

2. 클라이언트가 네이버 권한 서버에 인증 요청

클라이언트 애플리케이션은 네이버의 권한 서버로 인증 요청을 보냄
이 요청에는 클라이언트 ID, 리디렉션 URI, 응답 유형(code), 그리고 요청된 권한 범위(scope)가 포함.
ex) https://nid.naver.com/oauth2.0/authorize?response_type=code&client_id={CLIENT_ID}&redirect_uri=REDIRECT_URI&state=STATE
response_type=code: 인증 코드를 요청하는 것을 의미
client_id: 네이버 개발자 센터에서 발급받은 클라이언트 ID
redirect_uri: 인증 후 리디렉션될 클라이언트의 URI
state: CSRF 공격을 방지하기 위한 고유한 상태 값

3. 사용자가 네이버 권한 서버에 로그인 및 권한 부여

사용자는 네이버 로그인 화면에서 자신의 네이버 계정으로 로그인 로그인 후, 클라이언트 애플리케이션이 요청한 권한(예: 프로필 정보 접근 등)에 대해 허용할 것인지 묻는 화면이 표시.

사용자가 권한을 부여하면, 네이버 권한 서버는 인증 코드를 생성

4. 네이버 권한 서버가 클라이언트로 인증 코드 전달

사용자가 권한을 부여하면, 네이버 권한 서버는 클라이언트 애플리케이션에 인증 코드를 전달 클라이언트가 네이버의 리소스 서버에 액세스 토큰을 얻기 위해 사용

5. 클라이언트가 인증 코드를 사용해 네이버 권한 서버에 토큰 요청

인증 코드, 클라이언트 ID 및 클라이언트 시크릿(비밀키), 그리고 리디렉션 URI가 포함

6. 네이버 권한 서버가 클라이언트에 액세스 토큰 전달
   
   
7. 클라이언트가 액세스 토큰을 사용해 네이버 API에 요청

클라이언트 애플리케이션은 발급받은 액세스 토큰을 사용해 네이버 API에 요청 이버의 리소스 서버는 액세스 토큰을 검증한 후 요청된 사용자 데이터를 반환