입력 제한 환경의 UX 혁신을 위한 OAuth 2.0 Device Flow 설계 분석

Context

Smart TV, CLI, IoT 기기 등 입력 장치가 제한적인 환경에서 복잡한 비밀번호 입력으로 인한 사용자 이탈 및 보안 취약점 발생. 기존의 표준 OAuth Flow는 브라우저 기반의 리다이렉션을 전제로 하여 입력 제약 기기에서 적용이 불가능한 한계 존재.

Technical Solution

• User-Agent가 아닌 별도 인증 기기를 활용하는 Device Authorization Grant 도입으로 입력 인터페이스 분리
• User Code와 Device Code를 분리하여 인간 가독성(Human-readable)과 시스템 식별자(Opaque string)의 역할을 명확히 구분한 설계
• Client의 Token Endpoint Polling 메커니즘을 통해 비동기적 인증 상태 확인 및 토큰 획득 구조 구현
• Polling 간격 조절(slow_down) 응답 처리를 통한 서버 부하 제어 및 API Abuse 방지 로직 적용
• User Code 입력 시 원자적 처리(Atomic Operation)를 통한 중복 사용 방지 및 보안성 강화
• PKCE와의 조합을 통해 Client Secret 보관이 불가능한 Public Client 환경의 보안 요구사항 충족