한국어
  • invalid_grant
  • invalid grant error
  • oidc grant
  • oauth
  • auth
  • authentication

OIDC 그랜트 탐색: "invalid_grant" 오류 이해 및 문제 해결하기

OpenID Connect (OIDC) 그랜트의 필수적인 부분을 배우고 "invalid_grant" 오류를 어떻게 문제 해결하는지 알아보세요.

Charles
Charles
Developer

배경

우리 커뮤니티에서는 사용자들로부터 반복적으로 듣는 한 가지 질문이 있습니다: Logto에서 "invalid_grant" 오류가 왜 발생합니까? 예를 들어 #503

이것은 Logto를 자신들의 애플리케이션에 통합하려는 몇몇 사용자들을 위해 일반적인 도전과 장애물이 됩니다. 그러나 이 오류 뒤에있는 이유들은 경우에 따라 다르며, 때때로 제한된 문맥이 제공되었을 때 설명하는 것이 어렵습니다. 그러므로, 정확한 OIDC 개념을 이해하고 이 문제를 해결하는 방법을 배우는 것은 모두에게 필수적입니다.

이제 OIDC 그랜트의 기본 사항에 대해 자세히 알아봅시다.

OIDC 그랜트 설명

우리가 이전의 블로그 포스트에서 소개했듯이, OpenID Connect (OIDC)OAuth 2.0 위에 구축된 프로토콜입니다.

OIDC 또는 OAuth2의 맥락에서 그랜트는 리소스 소유자(보통 사용자)가 클라이언트 애플리케이션에 부여하는 권한 세트입니다. 그랜트는 클라이언트 애플리케이션이 사용자의 신원 정보와 다른 보호된 리소스에 액세스하는 데 필수적입니다. OIDC는 다양한 시나리오와 애플리케이션이 액세스 토큰을 얻는 방식에 맞춰 여러 그랜트 유형을 정의합니다.

OIDC 그랜트를 더 잘 이해하도록 도와줄 비유가 있습니다.

다른 국가를 여행하면서 각 국가가 입국에 대한 비자 스탬프를 요구한다고 상상해보세요. 이 시나리오에서, 당신의 여권은 당신의 사용자 계정으로, 당신의 개인 정보를 담고 있습니다. OIDC 그랜트는 당신이 국가에 입국할 비자를 신청하는 방법들과 같습니다. 비자가 발급되면, 그 국가에 입장할 "토큰"을 얻게 됩니다.

비슷하게, 애플리케이션을 사용할 때, 그랜트 요청은 당신이 인증 서버에 접근 권한을 부여하도록 요청하는 행동입니다. 인증 서버는 당신의 신원을 검증하고, 해당 애플리케이션에 로그인할 "비자"(액세스 토큰)를 발급합니다.

일반적으로 사용되는 OIDC 그랜트 타입:

  1. Authorization Code Grant: 이건 OIDC에서 가장 일반적으로 사용되는 그랜트 타입입니다. 사용자를 인증 서버로 리디렉션하고, 인증 코드를 취득, 애플리케이션으로 다시 리디렉션하고 코드를 액세스 토큰으로 교환하는 과정을 포함합니다. 이것은 외국 국가에 입장하기 전에 대사관에서 비자를 신청하는 표준 프로세스라고 할 수 있습니다.
  2. Refresh Token Grant: OIDC에서는 이 그랜트 타입이 클라이언트 애플리케이션에 이전에 발급된 갱신 토큰을 사용하여 새로운 액세스 토큰을 획득할 수 있게 합니다. 주로 사용자가 자신의 자격증명을 다시 입력하지 않고 사용자의 세션을 연장하는 데 사용됩니다. 당신의 비자가 통관 절차를 다시 거치지 않고 외국 국가에서 체류를 연장할 수 있는 마법 카드를 가지고 있는 것처럼 상상해보세요.
  3. Implicit Grant: 이 그랜트 타입은 기존의 브라우저 기반의 애플리케이션 용도이며, Authorization Code Grant보다 보안성이 떨어집니다. 이 그랜트 타입은 액세스 토큰을 바로 클라이언트 애플리케이션으로 반환합니다. 이것은 "도착 시 비자"와 같아서 미리 비자 신청이 필요가 없습니다.
  4. Client Credentials Grant: 이 그랜트 타입은 서버 간 통신에 적합하며, 클라이언트 애플리케이션이 그것의 자격 증명(클라이언트 ID와 클라이언트 비밀)을 사용하여 인증 서버와 직접 인증할 수 있게 해줍니다. 이것은 특별 요원이 특별한 직업 배지를 보여 비자 신청 과정 없이 국가에 입장하는 것에 비유할 수 있습니다.

Grant 객체 모델:

Logto에서는 그랜트가 데이터베이스에 객체 엔터티로 유지됩니다. 이것은 사용자 계정 ID, 애플리케이션 ID, 관련 OIDC 리소스와 스코프, 만료 시간 등의 정보를 포함합니다. 각각의 갱신 토큰과 액세스 토큰은 특정 그랜트 객체와 연관되어 있습니다.

그랜트 요청:

HTTP 요청은 API를 통해 인증 서버로 전송됩니다. 클라이언트 애플리케이션이 다양한 목적(예를 들어, 새로운 그랜트를 신청하기위해(로그인 및 갱신 및 액세스 토큰 획득), 그랜트 세부 정보 갱신(새 액세스 토큰을 얻기 위해 갱신 토큰 교환), 또는 그랜트를 철회(로그인 된 사용자에게 발행된 모든 토큰을 철회하고 그들의 접근을 종료))에 대해 OIDC 토큰 엔드포인트로 그랜트 요청을 보낼 수 있습니다.

일반적인 권한 코드 그랜트 요청은 다음과 같습니다:

"invalid_grant" 오류 이해하기

OIDC에서 invalid_grant 오류를 만나는 것은 일반적으로 그랜트 유형 또는 그랜트 요청과 연관된 데이터가 유효하지 않거나 지원되지 않는다는 것을 나타냅니다. 다음은 이 오류 뒤에 있는 일반적인 이유들입니다:

1.잘못된 그랜트 유형: 애플리케이션에 잘못된 그랜트 유형을 사용하면 invalid_grant 오류가 발생할 수 있습니다. Logto SDK를 사용하여 적절한 그랜트 유형을 사용하고 있는지 확인하세요. 2.리디렉션 URI 불일치: 토큰을 위한 권한 코드를 교환할 때, 요청에 사용된 리다이렉션 URI는 초기 인증 요청에서 사용된 것과 일치해야 합니다. 일치하지 않으면 invalid_grant 오류가 발생할 수 있습니다. 3.만료되었거나 사용된 권한 코드: 권한 코드 로그인 플로우에서, 권한 코드는 제한된 수명을 가지며, 토큰 획득을 위해 사용되면 "소비된" 것으로 표시됩니다. 만료되거나 소비된 코드를 액세스 토큰으로 교환하려고 시도하면 invalid_grant 오류가 발생할 수 있습니다. 4.만료되거나 회전된 갱신 토큰: 액세스 토큰을 위한 갱신 토큰을 교환할 때, 갱신 토큰이 이미 만료되었다면 invalid_grant 오류가 발생합니다. 더욱이, 강화된 보안을 위해 Logto는 기본적으로 갱신 토큰 회전을 활성화합니다. 같은 갱신 토큰으로 두 번째 토큰 엔드포인트를 요청하는 것은 "회전된" 갱신 토큰을 사용하는 것으로 간주되며 거부될 것입니다. 5.필수 데이터 또는 요청 헤더 누락: 그랜트 요청을 구성할 때, 주어진 그랜트 유형에 대해 필수적인 매개변수와 요청 헤더가 제공되어야 합니다. 예를 들어, 모든 그랜트 요청에는 클라이언트 ID가 제공되어야 하며, 클라이언트 ID와 클라이언트 비밀이 Client Credentials Grant에 제공되어야 합니다. 이 위험은 Logto SDK를 이용함으로써 완화할 수 있습니다. 6.기타 이유들: 이 오류는 클라이언트 자격 증명 불일치, 그랜트 만료 또는 찾을 수 없음, 갱신 토큰 찾을 수 없음 등과 같은 다른 이유로 발생할 수 있습니다.

문제 해결

"invalid_grant" 오류를 효과적으로 문제 해결하는 몇 가지 팁이 있습니다:

1.항상 Logto 클라이언트 SDK를 이용해 Logto를 응용 프로그램에 통합하도록 하세요. 이를 통해 그랜트 요청이 올바른 데이터와 함께 해당 엔드포인트로 전송되도록 할 수 있습니다. 2.당신의 앱 자격 증명과 리디렉션 URI가 Admin Console의 설정과 일치하는지 확인하세요. 3.불필요한 요청을 만들지 피하세요. 특히 React 그리고 Vue처럼, 의존성 변경으로 인해 페이지 컴포넌트가 다시 렌더링 될 수 있는 SPAs에서입니다. 액세스 토큰을 위해 코드 또는 갱신 토큰을 교환하는데 사용되는 함수들이 같은 요청 매개변수로 여러 번 트리거 되지 않도록 확인하세요. 이것은 몇몇 사용자들이 자주 하는 공통적인 실수입니다. 일반적으로 당신의 디버그 콘솔에서 여러 "토큰" 요청을 볼 수 있다면, 첫 번째 것은 성공하지만 이후의 것들은 모두 실패했으므로, 그들의 요청 매개변수를 확인하여 그것들이 같은 "코드" 또는 "갱신 토큰"을 사용하고 있는지 확인하세요. 기억하세요, 코드와 갱신 토큰을 그랜트 요청에 한 번만 사용할 수 있습니다. 4.만료 시간을 확인하세요. 예를 들어, 갱신 토큰이 만료되었으며(기본 14일), invalid_grant 오류를 받으면, 사용자 로그인 플로우를 다시 초기화하는 것을 잘 처리해야 합니다. Logto SDK를 사용하고 있다면, 사용자를 로그인 페이지로 다시 리디렉션하는 signIn() 함수를 호출할 수 있습니다. 5.감사 로그를 모니터하세요. 관리 콘솔 → 감사 로그로 이동하여 해당 사건과 관련된 오류 로그를 찾고, 상세한 오류 스택 트레이스를 확인하세요. invalid_grant 오류 뒤에는 통상적으로 "그랜트를 찾을 수 없음"이나 "갱신 토큰 만료" 등과 같은 더 구체적인 이유가 있습니다.

마지막 글

invalid_grant 오류는 초보자들에게는 도전적이고 혼란스러울 수 있지만, OIDC 그랜트에 대한 명확한 이해와 세부 사항에 대한 주의를 기울이면, 문제를 스스로 식별하고 해결할 수 있습니다. Discord 또는 GitHub에서 우리의 토론에 참여하세요, 이 블로그가 혼란스러움을 명확하게 하고 직면하고 있는 이슈들을 식별하는 데 도움이 되었는지 알려주세요. Logto 개발팀은늘 당신을 도와 드리기를 기쁘게 생각합니다.

함께, 우리의 사랑하는 애플리케이션들에 대한 원활하고 안전한 인증 경험을 만들어봅시다.

Logto Cloud 사용해보기