TsgcHTTP_OAuth2_Server

이 구성 요소는 서버 측 구성 요소에서 OAuth2 프로토콜 구현을 제공합니다.

서버 구성 요소에는 TsgcHTTP_OAuth2_Server의 인스턴스를 할당할 수 있는 Authorization.OAuth.OAuth2라는 속성이 있습니다. 따라서 Authentication이 활성화되고 OAuth2 속성이 OAuth2 Server Component에 연결되면, WebSocket 및 HTTP Request는 처리되기 위해 Bearer Token이 필요하며, 그렇지 않으면 연결이 자동으로 닫힙니다.

    OAuth2 := TsgcHTTP_OAuth2_Server.Create(nil);
    Server.Authentication.Enabled := True;
    Server.Authentication.OAuth.OAuth2 := OAuth2;

서버는 다음 권한 부여 유형을 지원합니다:

• auth2Code: 단일 페이지 애플리케이션, 웹 애플리케이션, 네이티브 설치 애플리케이션을 포함한 대부분의 애플리케이션 유형에서 인증 및 권한 부여를 수행하는 데 사용됩니다. 이 흐름을 통해 앱은 보안 리소스에 액세스하는 데 사용할 수 있는 access_token, 추가 access_token을 얻기 위한 갱신 토큰, 그리고 로그인한 사용자의 ID 토큰을 안전하게 획득할 수 있습니다.

• auth2ClientCredentials: 이 유형의 그랜트는 일반적으로 사용자와의 즉각적인 상호 작용 없이 백그라운드에서 실행되어야 하는 서버 대 서버 상호 작용에 사용됩니다. 이러한 유형의 애플리케이션은 종종 데몬 또는 서비스 계정이라고 합니다.

• password (Resource Owner Password Credentials): 애플리케이션이 사용자의 자격 증명을 직접 처리하여 사용자를 로그인시킬 수 있도록 합니다. 클라이언트는 사용자의 사용자 이름과 비밀번호를 토큰 엔드포인트로 보냅니다.

• urn:ietf:params:oauth:grant-type:device_code (Device Code): RFC 8628에 따른 Device Authorization Grant. 사용자가 보조 디바이스에서 권한을 부여하도록 하여 입력이 제한된 디바이스(스마트 TV, IoT 디바이스)가 사용자 권한 부여를 얻을 수 있도록 합니다.

Authorization 유형은 앱을 등록할 때 사용자 정의할 수 있으며, 기본적으로 모든 권한 부여 유형이 지원됩니다.

EndPoints

기본적으로, 구성 요소는 Authorization 및 Token 요청을 처리하기 위해 다음 엔드포인트로 구성됩니다

Authorization: /sgc/oauth2/auth

Token: /sgc/oauth2/token

Revocation: /sgc/oauth2/revoke

Introspection: /sgc/oauth2/introspect

Device Authorization: /sgc/oauth2/device

Device Verification: /sgc/oauth2/device/verify

따라서 서버가 포트 443에서 수신 대기하고 도메인이 www.esegece.com인 경우 EndPoints는 다음과 같습니다:

Authorization: https://www.esegece.com/sgc/oauth2/auth

Token: https://www.esegece.com/sgc/oauth2/token

Revocation: https://www.esegece.com/sgc/oauth2/revoke

Introspection: https://www.esegece.com/sgc/oauth2/introspect

Device Authorization: https://www.esegece.com/sgc/oauth2/device

Device Verification: https://www.esegece.com/sgc/oauth2/device/verify

엔드포인트는 OAuth2Options 속성에서 구성할 수 있습니다.

기본적으로 PKCE (CSRF 및 authorization code 주입 공격을 방지하기 위한 Authorization Code 흐름의 확장)가 활성화되어 있습니다.

구성

OAuth2 프로세스를 시작하기 전에 어떤 앱을 사용할 수 있는지 등록해야 하며, 이는 OAuth2 서버 구성 요소의 Apps 속성을 사용하여 수행됩니다.

Register App

Apps.AddApp을 사용하여 OAuth2 서버에 새 Application을 추가하며, 다음 매개변수를 설정해야 합니다:

• App Name: 애플리케이션의 이름입니다. 예: MyApp
• RedirectURI: 응답이 리디렉션될 위치입니다. 예: http://127.0.0.1:8080
• ClientId: 는 public 정보이며 클라이언트의 ID입니다.
• ClientSecret: 기밀로 유지되어야 합니다.

선택적으로 다음 매개변수를 설정할 수 있습니다:

• ExpiresIn: 기본값은 3600초이므로 토큰은 1시간 후에 만료됩니다. 필요한 경우 더 큰 값을 설정할 수 있습니다.
• RefreshToken: 기본적으로 갱신 토큰이 지원되며, 그렇지 않은 경우 이 매개변수를 false로 설정하십시오.
• AllowedGrantTypes: 기본적으로 모든 부여 유형이 지원됩니다(auth2Code 및 auth2ClientCredentials). 그러나 서버는 Code Authorization만 허용하거나 Client Credentials만 허용하도록 구성할 수 있습니다.

앱 삭제

기존 App을 삭제하려면 Apps.RemoveApp을 사용하십시오.

AddToken

일부 token이 발급된 상태에서 서버가 다시 시작된 경우, OAuth2 서버를 시작하기 전이자 App을 등록한 후에 AddToken 메서드를 사용하여 이러한 token을 복구할 수 있습니다

• AppName: 애플리케이션의 이름입니다.
• Token: 액세스 토큰입니다.
• Expires: 토큰이 만료되는 시점입니다.
• RefreshToken: 갱신 토큰.

RemoveToken

이미 발행된 Token을 제거합니다.

OAuth2Options

OAuth2Options 속성을 사용하면 서버 엔드포인트와 선택적 기능을 구성할 수 있습니다.

취소(Revocation)

RFC 7009에 따른 토큰 취소입니다. 활성화하면 클라이언트가 이전에 발급된 access 또는 refresh 토큰을 취소할 수 있습니다.

• OAuth2Options.Revocation.Enabled: revocation 엔드포인트를 활성화하려면 True로 설정하십시오.
• OAuth2Options.Revocation.URL: 엔드포인트 URL 경로입니다. 기본값: /sgc/oauth2/revoke

Introspection

RFC 7662에 따른 토큰 introspection. 활성화되면 리소스 서버는 권한 부여 서버에 쿼리하여 토큰의 활성 상태와 메타데이터를 확인할 수 있습니다.

• OAuth2Options.Introspection.Enabled: introspection 엔드포인트를 활성화하려면 True로 설정하십시오.
• OAuth2Options.Introspection.URL: 엔드포인트 URL 경로입니다. 기본값: /sgc/oauth2/introspect

DeviceAuthorization

RFC 8628에 따른 Device Authorization Grant. 활성화되면 입력 제약 장치가 보조 장치에서 사용자가 권한을 부여하도록 하여 권한 부여를 요청할 수 있습니다.

• OAuth2Options.DeviceAuthorization.Enabled: device authorization 엔드포인트를 활성화하려면 True로 설정하십시오.
• OAuth2Options.DeviceAuthorization.URL: device code 요청을 위한 엔드포인트 URL 경로. 기본값: /sgc/oauth2/device
• OAuth2Options.DeviceAuthorization.VerificationURL: 사용자 검증 페이지의 엔드포인트 URL 경로입니다. 기본값: /sgc/oauth2/device/verify
• OAuth2Options.DeviceAuthorization.ExpiresIn: device code의 수명(초)입니다. 기본값: 600 (10분).
• OAuth2Options.DeviceAuthorization.Interval: 클라이언트가 token 엔드포인트를 폴링할 때 사용해야 하는 최소 폴링 간격(초). 기본값: 5.