'OAuth'에 해당되는 글 2건

  1. 2008.12.25 OpenID와 SaaS 서비스
  2. 2008.05.12 [XTech 2008] 웹 인증 API 표준 OAuth에 대해 논하다.

하나의 ID로 여러 서비스를 이용하게 해주겠다는 OpenID는 실제 그 유용성에도 불구하고 OpenID Provider가 다수 존재하고 이들 간에 계정 통합이 되지 않음으로 인해 실제 초기 의도했던 효과를 보지 못하고 있다. 실제 구글에서 만든 OpenID로 Facebook에 접근할 수 없으며 국내에서도 다음의 OpenID와 오픈마루의 OpenID간의 호환이 되지는 것이 현실이다. 더구나 OpenID 체계가 URL에 기반하기 때문에 기존의 메일 계정이나 단어조합으로 로그인 아이디를 구성해서 사용했던 사용자에게는 무척 어려운 방법이다.

이러한 문제를 좀 더 현실적으로 극복하기 위해 OAuth라는 인증방식에 대한 프로토콜 차원의 API 표준으로 OAuth가 나타났다. 실제 구글은 AuthSub, AOL은 OpenAuth, 야후은 BBAuth 라는 인증 방식을 사용하고 있었다. 이러한 서로 다른 인증방식의 표준이 바로 OAuth 이다.

이렇듯 현재의 인증 방법은 아직도 너무 다양하게 존재하고 있다. 그렇다면 이러한 것들을 좀  더 편하게 다룰 수 있는 방법은 없는 것일까? 복수개의 검색엔진들의 통합 검색을 제공하는 메타 검색이 있듯이 , 복수 개의 OpenID와 인증 방식을 통합해주는 메타 인증 서비스가 있다면 어떨까? 아마 도식화하면 아래와 같은 아이디어가 될 것이다.

사용자 삽입 이미지

바로 이러한 메타 인증 SaaS 서비스가 바로 RPX의 서비스이다. RPX는 AOL, Facebook, Google, MySpace, Yahoo 등의  OpenID와 인증 시스템을 통합해 준다. 사용자는 자신의 사이트를 RPX에 가입한 후 원하는 RPX 차림표를 보고 메뉴를 선택한 후(월 9.99$ 의 유료 서비스가 존재함) 제공되는 REST 방식의 API로 사이트의 인증 로직을 개발하면 된다.

개인적으로는 RPX의 메타 인증 서비스는 과도기적으로 유용한 서비스라고 생각된다. 왜냐하면 메타 서비스는 서비스 제공자들의 프로토콜에 의존적이기 때문이다. 물론 OpenID, OAuth라는 산업계 표준이 있지만 이 또한 모두 서비스 제공자의 정책에 따라 언제고 변경될 수 있기 때문이다 ^-^.

'SaaS-Cloud' 카테고리의 다른 글

Context Cloud Computing  (1) 2009.04.13
Adsense for image  (1) 2009.04.09
Amazon S3 현황  (2) 2009.03.31
OpenAPI에서 테스트 환경은 가장 중요한 환경이다.  (3) 2009.01.26
SaaS(Cloud) Directory  (0) 2008.12.25
OpenID와 SaaS 서비스  (0) 2008.12.25
SaaS 기술 동향 - 2008년 10월  (0) 2008.10.28
구글 G메일 다운과 SaaS  (0) 2008.10.18
SaaS Taxanomy  (0) 2008.10.08
XaaS에 대한 단상  (2) 2008.10.01
더 이상 자동차를 구매할 필요가 없다.  (3) 2008.07.27

Posted by 박재현
TAG OAuth, OPENID, sso

댓글을 달아 주세요


야후의 Fire Eagle 서비스가  OAuth를 지원하는 것에 대해서는 이전 포스팅에서 언급한 바 있습니다.

2008/05/12 - [Conference/2008 Xtech] - [XTech 2008 ] 야후의 위치 정보 공유 플랫폼 - Fire Eagle

Open ID가 사용자의 계정 정보 하나를 여러 서비스에서 공유하여 로그인을 자동으로 수행하는 서비스라면  OAuth 는 사용자의 로그인 인증(authorization)과정을 표준 API로 만듦으로 응용 프로그램 차원에서 SSO의 구현을 가능하게 하는 것을 말합니다.  특히 그 적용 범위를 서비스와 패키지 모두에 적용할 수 있게 해줍니다. 실제 이  OAuth API를 지원하는 사이트는 동일한 코드로  모두  접근할 수 있게 됩니다. 물론 이 과정에서 해당 사이트에 접근하여 사용자의  승락을 받는 과정을 거쳐야 합니다.

사용자 삽입 이미지
현재 OAuth 1.0 은 이미 표준화가 되었고 구글을 비롯하여 현재 마이스페이스, 야후 등 많은 소셜 네트웍 서비스에서 이를 지원하고 있습니다. 이러한  OAuth에 대한 해당 스펙을 공동 작성한 야후(플리커)의 Kellan Elliott-McCreaAdvanced OAuth Wrangling  라는 제목으로 OAuth에 대한 설명을 해 주었습니다.

기술적으로는 역시 보안이 가장 문제일 것으로 보이는 데 보안 알고리즘으로 RSA-SHAI를 사용할 수 있다고 합니다. 저도 보안쪽은 잘모르는 부분이지만 RSA-SHAI가 정책 기반으로 보안을 수행하는 모바일 분야의 알고리즘 중 하나라고 알고 있습니다. 하여간 이 부분은 두고두고 구현상 이슈가 될 것으로 보입니다.

이러한 OAuth 등의 배경에는 서비스 업체들로 부터 사용자 데이타의 자유( DataPortability )라는 이슈가 자리잡고 있습니다. 가령, 특정 서비스의 사용자 데이타를 손쉽게 다른 서비스로 이동시킬 수 있게 해주는 것 입니다. 페이스북 커넥터와 구글의 프렌트 커넥터 등이 이러한 흐름에 발빠르게 동참하며 주도하고 있는 상황입니다. 물론 국내  포탈 상황과는 아주 첨예하게 대립되는 동향이기도 합니다. 이 부분에 대해서는 따로 정리해 봅니다.

Posted by 박재현

댓글을 달아 주세요