모바일 앱에서의 OAuth 2.0 구현 가이드: Deep Linking과 Secure Storage 활용

 

 

 

1. 모바일 앱에서 OAuth 2.0의 중요성

모바일 앱은 사용자 경험을 개선하기 위해 소셜 로그인과 API 인증 을 자주 사용합니다. 이때 OAuth 2.0 을 통해 안전하게 인증 및 권한 부여 를 수행합니다. 그러나 모바일 환경에서는 토큰 저장 방식과 리다이렉트 처리 에 주의해야 합니다.

 

---

 

2. Deep Linking과 Redirect 처리

 

Deep Linking이란?

Deep Linking 은 앱 내부의 특정 페이지로 사용자를 바로 연결하는 방식입니다. OAuth 로그인 후 사용자를 다시 앱으로 리디렉션할 때 Deep Linking 이 필요합니다.

 

Android에서 Deep Link 설정 예제

<!-- AndroidManifest.xml -->
<activity android:name=".MainActivity">
    <intent-filter android:autoVerify="true">
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
        <category android:name="android.intent.category.BROWSABLE" />
        <data android:scheme="myapp" android:host="oauth" />
    </intent-filter>
</activity>

 

 

1. 모바일 앱에서 OAuth 2.0의 중요성

모바일 앱은 사용자 경험을 개선하기 위해 소셜 로그인과 API 인증 을 자주 사용합니다. 이때 OAuth 2.0 을 통해 안전하게 인증 및 권한 부여 를 수행합니다. 그러나 모바일 환경에서는 토큰 저장 방식과 리다이렉트 처리 에 주의해야 합니다.

 

---

 

2. Deep Linking과 Redirect 처리

 

Deep Linking이란?

Deep Linking 은 앱 내부의 특정 페이지로 사용자를 바로 연결하는 방식입니다. OAuth 로그인 후 사용자를 다시 앱으로 리디렉션할 때 Deep Linking 이 필요합니다.

 

Android에서 Deep Link 설정 예제

<!-- AndroidManifest.xml -->
<activity android:name=".MainActivity">
    <intent-filter android:autoVerify="true">
        <action android:name="android.intent.action.VIEW" />
        <category android:name="android.intent.category.DEFAULT" />
        <category android:name="android.intent.category.BROWSABLE" />
        <data android:scheme="myapp" android:host="oauth" />
    </intent-filter>
</activity>

 

iOS에서 Deep Link 설정 예제

// SceneDelegate.swift
func scene(_ scene: UIScene, openURLContexts URLContexts: Set<UIOpenURLContext>) {
    if let url = URLContexts.first?.url {
        print("Deep Link URL: \(url)")
        // OAuth 리다이렉트 처리 로직
    }
}

설명:
- Android와 iOS 모두 OAuth 인증 후 앱으로 리다이렉트 하는 Deep Link를 설정해야 합니다.
- 사용자가 인증을 완료하면 myapp://oauth 경로로 이동합니다.

 

---

 

3. Secure Storage에 토큰 저장하기

 

왜 Secure Storage가 필요한가?

모바일 앱에서는 Access Token과 Refresh Token 이 탈취되지 않도록 보안 저장소 에 저장해야 합니다. Android와 iOS에서 Secure Storage 를 활용해 민감한 데이터를 보호합니다.

 

Android에서 Secure Storage 사용 예제

val sharedPreferences = getSharedPreferences("auth_prefs", Context.MODE_PRIVATE)
val editor = sharedPreferences.edit()

// 토큰 저장
editor.putString("access_token", "your_access_token")
editor.apply()

// 토큰 가져오기
val accessToken = sharedPreferences.getString("access_token", null)

 

iOS에서 Secure Storage 사용 예제

import KeychainAccess

let keychain = Keychain(service: "com.example.myapp")

// 토큰 저장
keychain["access_token"] = "your_access_token"

// 토큰 가져오기
if let accessToken = keychain["access_token"] {
    print("Access Token: \(accessToken)")
}

설명:
- Android에서는 SharedPreferences 를 사용하며, 암호화 라이브러리 로 보안을 강화할 수 있습니다.
- iOS에서는 Keychain 을 사용해 안전하게 토큰을 저장합니다.

 

---

 

4. SSO(Single Sign-On) 구현하기

 

SSO란?

SSO(Single Sign-On) 은 사용자가 한 번 로그인하면 다른 애플리케이션에서도 동일한 인증 정보 로 접근할 수 있도록 하는 방식입니다. OAuth 2.0과 함께 사용해 사용자 경험을 개선 합니다.

 

예시: Google SSO 연동 코드 (Android)

val googleSignInClient = GoogleSignIn.getClient(this, GoogleSignInOptions.DEFAULT_SIGN_IN)

fun loginWithGoogle() {
    val signInIntent = googleSignInClient.signInIntent
    startActivityForResult(signInIntent, 100)
}

override fun onActivityResult(requestCode: Int, resultCode: Int, data: Intent?) {
    super.onActivityResult(requestCode, resultCode, data)
    if (requestCode == 100) {
        val task = GoogleSignIn.getSignedInAccountFromIntent(data)
        if (task.isSuccessful) {
            val account = task.result
            val idToken = account.idToken
            println("Google ID Token: $idToken")
        }
    }
}

설명:
- Google SSO를 통해 한 번 로그인한 사용자에게 다른 서비스도 자동 로그인 할 수 있도록 합니다.

 

---

 

5. 모바일 OAuth 구현 시 고려할 보안 요소

1. PKCE 사용
   - 모바일 앱에서는 PKCE 를 사용해 Authorization Code 탈취를 방지해야 합니다.
2. Refresh Token Rotation
   - Refresh Token이 재사용되지 않도록 각 요청마다 새로운 Refresh Token을 발급합니다.
3. HTTPS 사용
   - 모든 통신은 HTTPS 를 통해 암호화해야 합니다.
4. 토큰 만료와 자동 갱신
   - Access Token이 만료되면 Refresh Token으로 자동 갱신 하는 로직을 구현합니다.

 

---

 

6. 모바일 OAuth 구현 흐름 정리

1. 사용자가 소셜 로그인 버튼 을 클릭합니다.
2. OAuth 서버로부터 Authorization Code 를 받습니다.
3. PKCE 를 사용해 Authorization Code를 검증합니다.
4. Access Token을 발급받아 Secure Storage에 저장 합니다.
5. 필요 시 Refresh Token을 사용해 토큰을 갱신 합니다.

 

---

 

FAQ

Q1. 모바일 앱에서 반드시 PKCE를 사용해야 하나요?
A1. 네, PKCE는 필수적 입니다. 모바일 앱의 공개 클라이언트에서 코드 탈취를 방지 하는 데 사용됩니다.

Q2. Access Token과 Refresh Token은 어디에 저장해야 하나요?
A2. Android에서는 KeyStore 또는 SharedPreferences , iOS에서는 Keychain 을 사용하는 것이 좋습니다.

Q3. SSO 구현 시 어떤 장점이 있나요?
A3. 사용자가 한 번 로그인하면 여러 애플리케이션에서 동일한 인증 정보 로 자동 로그인할 수 있습니다.

Q4. Deep Link 설정 시 주의할 점은 무엇인가요?
A4. 리다이렉트 URI가 정확히 일치 해야 하며, 악성 링크에 주의 해야 합니다.

Q5. 모바일 OAuth의 보안을 강화하려면 어떻게 해야 하나요?
A5. HTTPS 사용, PKCE 적용, Refresh Token Rotation 등을 통해 보안을 강화할 수 있습니다.

 

---