From 7cd16f7463819db72dd39795e7c3c51f894d4324 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?=EB=AC=B8=ED=98=95=EC=84=9D?= <moon79@hanmaceng.co.kr>
Date: Mon, 22 Jun 2026 17:35:07 +0900
Subject: [PATCH] =?UTF-8?q?Update=20Baron=20SSO=20=EB=A1=9C=EA=B7=B8?=
 =?UTF-8?q?=EC=9D=B8=20=ED=99=94=EB=A9=B4=203=EA=B0=80=EC=A7=80=20?=
 =?UTF-8?q?=EB=B0=A9=EC=8B=9D=20=EC=A0=88=EC=B0=A8=20=EB=B0=8F=20=ED=9D=90?=
 =?UTF-8?q?=EB=A6=84.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 Baron SSO 로그인 화면 3가지 방식 절차 및 흐름.md | 6 ++++--
 1 file changed, 4 insertions(+), 2 deletions(-)

diff --git a/Baron SSO 로그인 화면 3가지 방식 절차 및 흐름.md b/Baron SSO 로그인 화면 3가지 방식 절차 및 흐름.md
index fba06ea..0944b83 100644
--- a/Baron SSO 로그인 화면 3가지 방식 절차 및 흐름.md	
+++ b/Baron SSO 로그인 화면 3가지 방식 절차 및 흐름.md	
@@ -410,7 +410,8 @@ sequenceDiagram
     BE-->>UF: sessionJwt + redirectTo
     UF->>RP: OIDC callback 이동(code 포함)
     RP->>HY: /oauth2/token에서 code 교환
-    HY-->>RP: access_token, id_token, refresh_token 발급
+    HY->>HY: code 검증, client 검증, token 생성
+    HY-->>RP: access_token, id_token, refresh_token 반환
 ```
 
 비밀번호 로그인에서도 토큰 저장 위치는 `3.3 공통 토큰 저장 위치`를 따른다. 즉 Kratos가 발급한 `session_token`은 UserFront 로그인 상태용으로 사용되고, RP에서 시작된 OIDC 흐름이면 Hydra가 후속으로 authorization code 및 RP용 `access_token`, `id_token`, `refresh_token`을 발급한다. Hydra 토큰은 UserFront가 아니라 RP가 자기 정책에 따라 저장한다.
@@ -594,7 +595,8 @@ sequenceDiagram
         BE-->>UF: sessionJwt + redirectTo
         UF->>RP: redirectTo 따라 RP callback 이동(code 포함)
         RP->>HY: /oauth2/token에서 code 교환
-        HY-->>RP: access_token, id_token, refresh_token 발급
+        HY->>HY: code 검증, client 검증, token 생성
+        HY-->>RP: access_token, id_token, refresh_token 반환
     else UserFront 일반 로그인(login_challenge 없음)
         BE-->>UF: sessionJwt 필드로 Kratos session_token 전달
     end