OpenID와 OIDC(OpenID Connect)

OpenID는 타사에 인증 권한을 제공하기 위한 표준안 중 하나다.

OAuth와 다른 프로토콜이었지만 현재는 연관이 매우 깊다. 잘 모른다면 함께 알아두는 것이 좋다.
관련 포스트
https://blog.naver.com/sssang97/224084090134

OpenID vs OAuth

현 시점에서 OAuth와 OpenID는 거의 일체형으로 붙어다니기에 구분하는게 의미가 없을 수도 있지만, 엄연히 다른 명세다.

OAuth는 권한을 부여하는 것 자체를 정의한다. 권한이 한정된 토큰을 발급해서 API 사용을 가능케 해주는 것까지가 OAuth의 역할인 셈이다.

OpenID는 해당 사용자가 맞는지를 검증하는 역할을 한다. 트위터에 SSO 로그인을 했을때, 타사에게 이 사용자가 트위터의 "john.doe"가 맞다는 것을 확인하는 것 자체가 OpenID인 셈이다.
그리고 OpenID를 통해 토큰을 받으면 그 토큰을 까서 사용자 신원을 확인할 수 있다. 원한다면 추가로 액세스토큰으로 User API를 찔러서 추가 정보를 받아올 수도 있으나, 이건 OpenID의 명세는 아니다.

OpenID 1 (2005)

이건 독립적인 인증 프로토콜로 시작되었다. "하나의 ID로 비밀번호 없이 여러 사이트 로그인"을 목표로 했다.

OpenID 1은 심각한 결함을 갖고 있어서 사용된 적도 별로 없고 현재도 전혀 사용되지 않는다.
보안 취약점도 많고 뭐 없는게 많았다.

일부 서비스(LiveJournal, Blogger 등)에서 잠깐 사용되었으나 대형 Provider들의 채택 부족으로 확산되지 못했다.

OpenID 2 (2007)

OpenID 2는 OAuth 1와 비슷한 시기에 만들어졌다. 핵심 원리는 OpenID와 크게 다르지 않았다.

현 시점에서 단독으로 사용되는 일은 거의 없어졌다. OpenID 1과 동일하게 사용자 UX가 너무 불편했기 때문이다.

OAuth 없이 OpenID를 통해서 연결을 하려면, 사용자는 다음과 같은 액션을 취해야 했다.

1. 트위터(OpenID Provider)에서 로그인용 openid 경로를 제공함 (joen.doe.openid.com)
2. 로그인할 타사 서비스에서 사용자가 그 URL을 입력함
3. 타사 서비스가 URL을 기반으로 정보를 확인하고, 인증을 받기 위해 트위터로 리디렉션함
4. 트위터 페이지에서 인증 완료.

당연히 이런 식으로 만들어두면 아무도 안 쓸 것이다. 그리고 실제로 사용자 영역에서는 안쓴다.

물론 개발자를 위한 연동 구조에서는 가끔 쓰기도 하는데... 일반적인건 아니다.

OpenID Connect (2014)

이건 사실 OpenID라고 부르긴 하는데, 기존 버전들과 호환되지도 않는 별개의 프로토콜이다.
OAuth 2을 기반으로 해서 OpenID의 핵심 개념- ID Token을 얹어서 사용하는 것을 말한다.

현 시점에서는 완연한 표준 기술이다.
SNS 로그인을 비롯한 타사 연동 서비스들은 전부 이 구조를 바탕으로 한다고 보면 된다.

OAuth의 구조를 알고 있다면 구조를 이해하는 것은 어렵지 않다.

따지자면, 인가 코드를 보내서 액세스토큰을 받아올 때, ID Token이란 것을 동시에 받아온다는 것이 다를 뿐이다.
이 ID 토큰은 JWT 토큰이고, 이걸 깐다면 추가 API 호출 없이 사용자의 고유 ID 등을 조회할 수 있다.

참조
https://en.wikipedia.org/wiki/OpenID
https://blog.logto.io/ko/what-is-oidc