kevin/baron-sso
1
0
Fork 0
forked from baron/baron-sso
Code Pull Requests Activity
Files
84b645ba7bebe759583d12049158c0dd95953c71
baron-sso/docs/auth-flow.md
Lectom C Han 77d4e9fd77 한 endpoint URL로 전체 서빙 #120
2026-01-29 14:42:15 +09:00

4.2 KiB
Raw Blame History

인증/로그인 플로우 정리 (Backend IDP 추상화 기준)

이 문서는 **Backend IDP 추상화(IdentityProvider)**를 기준으로, 현재 지원하는 로그인 방식과 UserFront 연동 API, 그리고 Kratos 세션 공유 방식을 정리합니다.

목적: ID/Password 방식부터 시작해, 현재 지원 중인 로그인 플로우를 IDP 추상화를 해치지 않는 범위에서 일관되게 구현하고, Front/Backend/Oathkeeper 간 세션 전달 방식을 명확히 한다.

1) 지원 로그인 방식 요약

방식 Backend 엔드포인트 세션 토큰 반환 비고
ID/Password POST /api/v1/auth/password/login sessionJwt IDP 추상화 사용 (Ory/Descope)
Enchanted Link (Email/SMS) POST /api/v1/auth/enchanted-link/initPOST /api/v1/auth/enchanted-link/poll sessionJwt 링크 클릭 시 POST /api/v1/auth/magic-link/verify 호출
Magic Link Verify POST /api/v1/auth/magic-link/verify token Polling 세션 갱신용
SMS 코드 POST /api/v1/auth/smsPOST /api/v1/auth/verify-sms token 현재는 내부 토큰(placeholder). Kratos 세션 교환 필요
QR 로그인 POST /api/v1/auth/qr/initPOST /api/v1/auth/qr/poll sessionJwt 모바일 승인: POST /api/v1/auth/qr/approve

2) UserFront 연동 API 매핑

2.1 ID/Password 로그인

  1. POST /api/v1/auth/password/login
  2. 응답의 sessionJwt 사용

2.2 Enchanted Link (Email/SMS)

  1. POST /api/v1/auth/enchanted-link/initpendingRef 수신
  2. POST /api/v1/auth/enchanted-link/poll로 폴링
  3. 사용자가 링크 클릭하면 UserFront가 POST /api/v1/auth/magic-link/verify 호출
  4. Polling 응답에서 sessionJwt 수신

2.3 QR 로그인

  1. POST /api/v1/auth/qr/initqrCode, pendingRef 수신
  2. 웹은 POST /api/v1/auth/qr/poll로 폴링
  3. 모바일 앱은 POST /api/v1/auth/qr/approve로 승인 (모바일 세션 토큰은 승인 검증용)
  4. Polling 응답에서 sessionJwt 수신

2.4 SMS 코드 로그인

  1. POST /api/v1/auth/sms로 코드 발송
  2. POST /api/v1/auth/verify-sms로 코드 검증
  3. 현재는 내부 토큰 반환 (IDP 세션 교환은 TODO)

3) Kratos 세션 생성/공유 방식

3.1 생성 (ID/Password 기준)

  • Backend가 IDP 추상화(IdentityProvider.SignIn)를 호출해 sessionJwt를 발급
  • **Ory(Kratos)**의 경우:
    • Kratos Login API를 통해 session_token을 반환
    • 이 값이 sessionJwt로 응답됨

3.2 공유 (Backend → UserFront / Oathkeeper)

현재 공유 방식은 두 가지 선택지가 있습니다.

A) Backend가 쿠키로 전달 (권장 방향)

  • sessionJwt가 Kratos session_token인 경우 ory_kratos_session 쿠키로 Set-Cookie
  • Oathkeeper cookie_session authenticator가 Kratos /sessions/whoami로 검증 가능

B) UserFront가 토큰을 보관/전달 (현재 동작)

  • sessionJwt를 로컬에 저장 후 Backend 호출 시 Authorization: Bearer <token>로 전달
  • Oathkeeper 경유 경로에서는 쿠키가 필요하므로, 별도 토큰 교환 또는 Oathkeeper 인증기 추가가 필요

현재 구현은 B 방식에 가깝고, Oathkeeper 통과를 위한 쿠키 전달은 추가 구현이 필요합니다.

4) IDP 추상화 관점에서의 구현 상태

  • ID/Password 로그인: IDP 추상화 사용 (Ory/Descope) — 정상
  • Enchanted/Magic Link: 현재는 Descope 기반 로직이 포함됨. Ory 전환 시 Kratos code/link 플로우로 교체 필요
  • SMS 코드: 내부 토큰(placeholder). Kratos 세션 교환 로직 추가 필요
  • QR 로그인: 모바일 세션 토큰은 승인 검증용으로만 사용하고, 백엔드에서 웹 전용 세션을 새로 발급

5) UserFront 주의사항

  • sessionJwtJWT 형식이 아닐 수 있음 (Kratos session token은 opaque 가능)
  • 현재 UserFront는 Descope SDK 기반 세션 처리 로직이 포함되어 있어, Ory 사용 시 이 부분은 분리/대체가 필요함

6) 다음 액션 제안

  1. Kratos 세션 쿠키 전달 방식(A) 구현
  2. Enchanted/Magic Link의 Ory 대응(로그인 코드/링크 방식) 설계
  3. SMS 코드/QR 플로우의 Kratos 세션 교환 정책 확정
View Git Blame Copy Permalink