[우사기] OAuth 2.0 Playground로 구글 소셜 로그인 테스트 해보기

테스트용 토큰을 어떻게 생성해야 할까?

Google 소셜 로그인 백엔드 작업을 끝냈고 테스트 코드 작성 단계에서 올바르게 동작할 토큰 값이 필요했다.

FE에서 토큰을 받아오는 게 제일 정확하겠지만, 아직 개발 전이라 토큰을 받아올 수 없는 상황 🥹

구글링과 클로드의 도움으로 OAuth 2.0 Playground에서 토큰 생성을 해서 테스트를 해보았다.

( 링크 : https://developers.google.com/oauthplayground/ )

주의사항 1. scopes에 `openid `를 포함시켜야 된다.

OpenID Connect(OIDC) 프로토콜의 공식 스펙상, id_token을 발급받기 위해서는 스코프에 openid를 포함시켜야 된다.

-> 테스트 해보니까 email, profile만 포함시켜도 응답값에 id_token 값이 포함돼서 오긴 왔는데, 표준 스팩 기준으로는 openid가 스코프에 포함되어야 한다고 함.

주의사항 2. 토큰 값은 `id_token` 값을 사용해야 한다.

access_token 값을 아무리 넘겨줘도 계속 유효하지 않은 토큰값이라는 오류만 떠서 한참 삽질했는데... 🪏

access_token이 아닌 id_token을 넘겨주니까 정상적으로 테스트 통과했다.

🔎 id_token 과 access_token의 차이점

id_token (인증, Authentication)

- "이 사용자가 누구인가?"를 식별하기 위함 -> 로그인/회원가입용

- 사용자 이름, 이메일, 프로필 사진 등의 정보가 암호화된 JWT(JSON Web Token) 형식으로 담겨 있음

- BE는 구글 서버에 물어볼 필요 없이, 자체적으로 수학적 검증(서명 확인)만 수행하고, 서명이 맞으면 토큰 안의 내용(payload)을 믿고, 바로 로그인 처리를 하면 된다.

access_token (인가, Authorization)

- "이 사용자가 구글의 리소스(캘린더, 유튜브 등)에 접근할 권한이 있는가?"를 허용하기 위함 -> API 사용용

- 그 자체로는 사용자 정보가 담겨있지 않은 난수 문자열(Opaque String)인 경우가 많음

- access token만으로는 이 토큰이 유효한지, 누구의 것인지 알 수 없기 때문에 구글 API를 호출해서 다시 응답 값을 받아야 함.

주의사항3. playgroud 값을 설정해 줘야한다.

    private val verifier: GoogleIdTokenVerifier =
        GoogleIdTokenVerifier
            .Builder(
                NetHttpTransport(),
                GsonFactory.getDefaultInstance(),
            ).setAudience(
                listOf(
                    googleProperties.clientId,
                ),
            ).build()

id_token이 Google에서 발급해준 토큰이 맞는지 검증해주는 GoogleIdTokenVerifier을 구현했었다.

여기에 ios 클라이언트 아이디를 넣어주면 ios 앱에서 발급 요청한 토큰만 검증 통과하게 된다.

verify() 메서드를 살펴보면 id_token 문자열을 받아 GoogleIdToken 객체로 만들어서 검증을 진행한다.

payload 값을 보면 "aud"와 "azp"라는 Key가 존재하는데, 각각 "토큰을 사용할 수 있는 대상"과 "토큰을 요청한 클라이언트"를 의미한다. (일반적인 경우, aud와 azp 값은 동일하다.)

검증 객체는 이 "aud" 값이 GoogleIdTokenVerifier 생성 시 설정했던 클라이언트 id값과 일치하는지 검증을 하게 되는데,

OAuth 2.0 Playground로 발급 받은 토큰은 aud 값이 달라 검증에 실패했다.

그래서 아래와 같이 Playground로 검증 받은 토큰도 통과되도록 설정을 추가해줘야한다.

*운영 환경에서는 반영되지 않도록 주의해야한다.

저작자표시 비영리 변경금지 (새창열림)

'우사기 개발일지 🐰' 카테고리의 다른 글

[우사기] AWS Lightsail 배포 시, GitHub Actions로 환경변수 주입하기 (0)	2026.01.26
[우사기] Github Actions DEV 배포용 workflow 작성 (1)	2026.01.21
[우사기] Github Actions PR 테스트용 workflow 및 테스트 코드 작성 , 테스트 환경 구성 (0)	2026.01.20

테스트용 토큰을 어떻게 생성해야 할까?

주의사항 1. scopes에 `openid `를 포함시켜야 된다.

주의사항 2. 토큰 값은 `id_token` 값을 사용해야 한다.

🔎 id_token 과 access_token의 차이점

주의사항3. playgroud 값을 설정해 줘야한다.

'우사기 개발일지 🐰' 카테고리의 다른 글

티스토리툴바