OAuth 2.0 SSO 개요
OAuth 2.0은 애플리케이션이 HTTP 서비스에 대해 사용자 계정이 제한된 액세스 권한을 얻을 수 있도록 지원하는 승인 프레임워크입니다. 사용자 계정을 호스팅하는 서비스에 사용자 인증을 위임하고 타사 애플리케이션이 사용자 계정에 액세스할 수 있도록 승인하는 방식으로 작동합니다. OAuth 2.0은 웹 및 데스크톱 애플리케이션과 모바일 기기를 위한 승인 흐름을 제공합니다.
기본 SSO
선택한 기능에 관계없이 기본 SSO에는 몇 가지 특정 데이터, 특히 공개 키가 필요합니다. 로열티 또는 신용카드 구현을 추가하려면 추가 정보가 필요합니다.
설정 정보
템플릿 사이트에 대한 OAuth 2.0 SSO 액세스를 올바르게 설정하려면 다음과 같이 몇 가지 사항이 필요합니다.
- API(승인, 토큰, userProfile)
- ClientId
- 클라이언트 암호
- ResponseMode
- isNonceEnabled
- customerDetailsAPIKey(사용 가능한 경우)
Expedia의 표준 OAuth 2.0 SSO 구현은 공개 키를 사용하여 암호화되고, 승인 후 엔드포인트를 생성하고, nonce를 활성화하고, 범위 매개변수를 설정합니다. 사용자 정보도 포함합니다.
승인
GET /authorize 엔드포인트는 인증 및 승인에 사용됩니다. 클라이언트에 승인 권한을 반환합니다.
| 필드 | 설명 | 데이터 유형 | 샘플 값 | 필수 여부 |
|---|---|---|---|---|
client_id | 클라이언트를 식별합니다. IDP(ID 공급자)에 사전 등록된 값과 일치해야 합니다. 수동 클라이언트 등록 중에 또는 동적 클라이언트 등록 API를 통해 얻습니다. | String | 예 | |
nonce | 재전송 공격을 완화하는 데 사용됩니다. 이 값은 ID 토큰으로 반환됩니다. | String | 예 | |
prompt | 검증에 필요한 상호 작용 유형입니다. | String | 유효한 값: none consent | 아니요 |
redirect_uri | 인증 코드 또는 토큰을 전송해야 하는 콜백 위치입니다. 클라이언트 등록 시 IDP에 사전 등록된 값과 일치해야 합니다. | String | 예 | |
response_type | code(IDP) 값입니다. | String | 예 | |
response_mode | 승인 응답이 반환되는 방법입니다. | String | 유효한 값: query | 아니요 |
scope | 프로필 세부 정보를 가져오는 데 사용되는 액세스 토큰입니다. 인증 요청에 필요합니다. | String | OpenID, profile, email | 예 |
state | 상호 작용의 상태입니다. 이 값은 토큰으로 반환되며, 사용자는 이를 통해 클릭하고 인증을 받고, 원래 관심을 가졌던 페이지로 돌아갈 수 있습니다. 값에는 영숫자, 쉼표, 마침표, 밑줄, 하이픈 문자가 포함될 수 있습니다. | String | 예 |
응답 매개변수
| 매개변수 | 설명 | 데이터 유형 | 필수 여부 |
|---|---|---|---|
code | 클라이언트를 식별하는 인증 코드입니다. IDP에 사전 등록된 값과 일치해야 합니다. 수동 클라이언트 등록 중에 또는 동적 클라이언트 등록 API를 통해 얻습니다. | String | 예 |
state | 상호 작용의 상태입니다. 이 값은 토큰으로 반환되며, 사용자는 이를 통해 클릭하고 인증을 받고, 원래 관심을 가졌던 페이지로 돌아갈 수 있습니다. 값에는 영숫자, 쉼표, 마침표, 밑줄, 하이픈 문자가 포함될 수 있습니다. | String | 예 |
토큰
POST /token 엔드포인트는 승인 권한을 제시하여 사용자의 신원을 확인하는 데 사용됩니다.
요청 매개변수
| 매개변수 | 설명 | 데이터 유형 | 샘플 값 | 필수 여부 |
|---|---|---|---|---|
grant_type | IDP가 토큰 생성을 승인하는 데 사용하는 메커니즘입니다. | String | authorization_code | 예 |
redirect_uri | 승인이 전송된 콜백 위치를 지정합니다. 이 값은 원래 authorization_code 생성에 사용되는 redirect_uri와 일치해야 합니다. | String | 예 | |
code | /authorize 호출 응답에서 받은 클라이언트 식별 코드입니다. | String | 예 |
요청 헤더
| 매개변수 | 설명 | 데이터 유형 | 샘플 값 | 필수 여부 |
|---|---|---|---|---|
accept | "application/json"이어야 합니다. | String | application/json | 예 |
authorization | 클라이언트 ID와 암호를 Base64로 인코딩합니다. HTTP 승인 헤더에 인코딩된 정보를 사용합니다. | String | Basic<Base64로 인코딩된 클라이언트 ID 및 암호> | 예 |
Content-Type | "application/x-www-form-urlencoded"여야 합니다. | String | application/x-www-form-urlencoded | 예 |
응답 속성
| 필드 | 설명 | 데이터 유형 |
|---|---|---|
access_token | 액세스 토큰 | String |
token_type | 토큰의 대상 | String |
expires_in | 액세스 토큰의 만료 시간(초) | Integer |
scope | 액세스 토큰에 포함된 범위 | String |
id_token | OpenID 범위가 부여된 경우 반환되는 식별자 | String |
ID 토큰
ID_token은 클레임이라는 인증 정보가 포함된 JSON 웹 토큰(JWT)입니다. Expedia 템플릿 솔루션은 header, payload, signature 클레임을 사용합니다.
헤더 클레임
| 필드 | 설명 | 데이터 유형 | 필수 여부 |
|---|---|---|---|
alg | 사용된 디지털 서명 알고리즘 식별(항상 RS256) | String | 아니요 |
kid | 키 ID: ID 토큰을 확인하는 데 사용되는 공개 키 식별. 해당 공개 키는 JSON 웹 키 세트(JWKS)를 통해 찾을 수 있습니다. | String | 예 |
페이로드 클레임
| 필드 | 설명 | 데이터 유형 | 필수 여부 |
|---|---|---|---|
amr | 인증 방법에 대한 식별자인 JSON 문자열 배열 | Array | 아니요 |
aud | 이 ID 토큰이 의도한 대상 식별(애플리케이션의 OAuth 2.0 클라이언트 ID 중 하나) | String | 예 |
auth_time | 최종 사용자가 인증된 시간, Unix 시간(초)으로 표현됨 | Integer | 아니요 |
exp | ID 토큰이 만료되는 시간, Unix 시간(초)으로 표현됨 | Integer | 예 |
iat | ID 토큰이 발행된 시간, Unix 시간(초)으로 표현됨 | Integer | 아니요 |
idp | ID 공급자의 지표 | String | 예 |
iss | 이 ID 토큰을 발행한 승인 서버의 URL | String | 아니요 |
jti | 디버깅 및 해지 목적을 위한 이 ID 토큰에 대한 고유 식별자 | String | 예 |
sub | 승인 호출의 주체(사용자)에 대한 고유 식별자 | String | 아니요 |
ver | ID 토큰의 의미 체계 버전 | Integer | 예 |
서명 클레임
서명 검증: 서명이 해당 client_id 및 알고리즘에 적합한 키에 대해 검증됩니다.
로열티 추가
템플릿 사이트의 일부로 고객이 여행 상품 구매 시 로열티 포인트를 적립할 수 있는 기능을 포함할 수 있습니다. 선택하면 고객이 적립된 로열티 포인트를 사용하여 여행 상품을 구매하도록 템플릿을 설정할 수도 있습니다.
표준 구현과 동일한 설정 요구 사항이 적용되며, 여러 가지 값도 마찬가지입니다. 다르게 적용되는 값만 여기에 포함되어 있습니다.
표준 사용자 정보 외에 로열티 프로그램 설정에는 다음과 같은 값이 포함됩니다.
programAccount
| 필드 | 설명 | 필수 여부 |
|---|---|---|
programId | 고객이 가입한 로열티 프로그램의 식별자 또는 로열티 프로그램과 관련된 등급 이름 | 예 |
loyaltyAccountNumber | 고객의 로열티 계정 번호. 로열티 작업에 고유 membershipId 외의 보조 식별자가 필요한 경우에만 채워져야 합니다. | 아니요 |
lastFourDigitsOfCreditCard | 고객이 예약에 사용한 신용카드의 마지막 4자리 숫자 | 아니요 |
accountName | 프로그램 이름(등급 이름과 다른 경우) | 아니요 |
loyaltyConversionRatio | 결제액이 적립 포인트로 전환되는 비율(예: $1 = 1포인트) | 아니요 |
loyaltyAccountBalance | 고객이 적립한 로열티 포인트의 현재 잔액 | 예 |
value | 로열티 잔액. loyaltyAccountBalance 아래에 중첩됩니다. | 예 |
currency | 로열티 프로그램에서 사용하는 적립 통화(통화, 포인트, 마일 형태). loyaltyAccountBalance 아래에 중첩됩니다. | 예 |