실습 경험 + 개념 설명
사이드 프로젝트에서 구글 로그인을 연동할 때 OAuth2 흐름을 처음 직접 구현했습니다. Authorization Code Flow를 따라가면서 액세스 토큰과 리프레시 토큰의 역할 차이를 실제로 이해했습니다. OIDC는 OAuth2 위에 사용자 신원 확인 레이어를 얹은 것으로, ID 토큰을 통해 인증 정보를 전달한다는 차이가 있습니다. 구현 중 state 파라미터로 CSRF를 방어하는 부분에서 왜 이 절차가 있는지를 처음 이해했습니다. 아직 대규모 인증 시스템을 설계한 경험은 없지만, 프로토콜의 흐름과 보안 목적을 이해하고 있어서 실무에 빠르게 연결할 수 있다고 생각합니다. 이 경험 이후 인증 흐름을 처음부터 직접 구현하는 것이 가장 빠른 이해 방법이라는 걸 배웠습니다.
보안 프로토콜은 코드로 먼저 이해하는 게 개념 학습보다 효과적이었습니다.