[backstage] 인증 방식과 권한 관리

[seowjin1060]

Oauth 방식

외부 3rd 어플리케이션에 인증 api를 보내 토큰을 획득하는 방식이다.

github / google등의 어플리케이션에서 토큰을 발급후, 다시 backstage로 리다이렉션시키며,

backstage는 콜백을 통해 리다이렉트된 요청의 토큰헤더를 확인하여 메인 페이지로 로딩시킨다.

문제점...?

발급받은 토큰에 대한 인증 만료가 설정되어있지 않아, 무기한으로 세션이 유지된다.

위의 문제와 겹치는데, 로그아웃(세션 반환) 기능이 없다

• 들어올때는 마음대로지만 나갈때는 아니다..?
• Oauth는 토큰 획득과 redirect까지임
• 언제 반환하고, 발급받을지는 backend에서 하고, oauth & login page는 토큰을 발급하여 백엔드에 전달하는 역할까지만 구현됨
• auth: Fix sign out for proxy auth providers backstage/backstage#12016

토큰에 대한 유효성 검증은 딱히 하지 않는다.

• backstage에서 발급받은 토큰에 대한 검증 하는 로직은 없음.

종합적으로 보면, 위에서 설명한 Oauth 기능은 사용자 제어를 위한게 아님

획득한 토큰을 통해 접근 제어와 backend측에서 인증에 사용하기 위함임이 명시되어있음