이 책을 읽고 있는 사람은 개발자나 ID 관리 전문가일 가능성이 크다. 어느 쪽이든 무엇보다 보안이 중요하고 구축하고자 하는 것을 보호하길 원할 것이다.
OAuth에 대해 들어본 적이 있을 것이다. OAuth가 리소스, 특히, API를 보호하는 것과 관련이 있다는 것도 알고 있을 것이다. OAuth는 매우 인기가 많고 무엇이든 할 수 있다. 하지만 무엇이든 할 수 있는 것의 문제는 뭔가를 하기 어렵게 만든다는 것이다. 그런 것은 하나의 빈 페이지라고 할 수 있다.
저스틴과 안토니오가 쓴 이 책을 읽어보기 바란다. 무엇이든 할 수 있는 일을 할 때 그것이 정체되는 것을 막는 가장 쉬운 방법은 그냥 뭔가를 시작하는 것이다. 이 책은 OAuth가 무엇인지를 설명하고 있을 뿐만 아니라 OAuth 프로세스 전반에 걸쳐 무엇을 해야 하는지 알려주고 있다. 결국 OAuth를 도구로서 깊이 이해하게 되고 더 이상 여러분 앞에 빈 페이지가 놓여 있지 않게 될 것이다. 즉, 앞으로 멋진 것을 전달할 준비가 돼 있을 것이다.

[목 차]

1장. 안드로이드 UI 소개

__사용자 인터페이스란?
__안드로이드용 UI 개발은 다른 플랫폼 개발과 정말 다를까?
__효과적인 UI의 특징은 무엇일까?
__앱의 성공을 위해 왜 UI가 필수적일까?
____직관적인 익숙함
____쉽고 즐거운 사용
____일관성
____사용자의 불만 예방
____사용자가 실수를 바로잡을 수 있도록 지원
____전반적으로 더 좋은 안드로이드 사용자 경험 제공
__UI 사례 학습 - Google+
____액션 바
____떠다니는 액션 버튼
____메뉴
____설정
____다이얼로그
____토스트
____검색
____입력 컨트롤
____스타일과 테마
__요약


2장. 효과적인 UI에는 무엇이 필요할까?

__뷰란?
__레이아웃이란?
__XML이나 Java로 UI 생성
____XML로 UI 선언
____프로그램 코드로 UI 선언
____프로그램 코드와 XML 레이아웃 혼용
__레이아웃
____레이아웃 크기 정의
__다양한 레이아웃
____LinearLayout의 모든 것
____RelativeLayout의 모든 것
__뷰 생성
____아이디 속성 할당
____뷰 크기 설정
____안드로이드 그라비티와 레이아웃 그라비티
____색상과 배경 설정
____가중치 설정
__뷰 객체 추가 및 커스터마이징
____텍스트뷰
__에디트텍스트
____키보드 동작 제어-inputType 설정
____android:imeOptions
____사용자 힌트
__이미지뷰
____멀티스크린 지원
____이미지뷰 추가
__버튼과 이미지버튼
____텍스트 라벨 버튼 생성
____이미지 라벨 버튼 생성
____텍스트와 이미지 라벨 버튼 생성
__상태 목록 리소스
__요약


3장. UI 더 알아보기 - 프레그먼트, 리소스, 사용자 입력

__그 외의 리소스 종류
____문자열 리소스 생성 및 스타일 적용
____문자열 배열 생성
____dimens.xml에 크기 정의
____색상 상태 목록
__나인패치 이미지 작업
____나인패치 이미지를 어떻게 만들까?
__사용자 입력 등록
____클릭 이벤트 처리
____에디트텍스트 입력 등록
__프레그먼트 작업
____왜 프레그먼트가 필요할까?
____프레그먼트 생명주기
____프레그먼트 생성
__실시간으로 액티비티에 프레그먼트 추가
__안드로이드 N의 멀티윈도우 지원
____멀티윈도우 모드는 어떻게 동작하나?
____멀티윈도우 모드를 위한 앱 준비
____픽처 바이 픽처 모드
__요약


4장. 머티리얼 디자인 시작하기

__머티리얼 디자인 정신
____사례 학습 - 행아웃
____사례 학습 - 구글 캘린더
____사례 학습- 구글 지도
__머티리얼 디자인 시작하기
____머티리얼 테마 적용
____입체감 만들기
____떠다니는 액션 버튼
____바텀 시트
____카드뷰
____목록과 리사이클러뷰
____애니메이션과 전환
____사용자에게 시각적인 피드백 제공하기
____마무리 작업
__요약


5장. 번뜩이는 아이디어를 상세 스케치로 바꾸기

__브레인스토밍 - 모바일 하드웨어의 이점 활용
____터치와 제스처
____GPS
____진동
____오디오 입출력
____다른 기기와의 인터랙션
__UX와 UI의 차이
__앱 브레인스토밍
____개념을 글로 작성
____최종 기능 목록 생성
____앱의 주요 동작 명확히 하기
____모바일에 적합한 애플리케이션인가?
____예산이 적절한가?
__앱 계획
____대상 사용자 식별
____사용자와 제품 목표 식별
____로드맵 생성
____마지막 고려 사항
__애플리케이션 디자인
____수준 높은 흐름
____화면 목록 생성
____화면 지도 생성
____내비게이션
____일반적인 내비게이션 패턴
____소셜 레이어
__요약


6장. 스케치를 와이어프레임으로 바꾸기

__와이어프레임이란?
____와이어프레임의 이점은?
____와이어프레임 만들기
____와이어프레임 더 살펴보기
____디지털 와이어프레임
__종이 프로토타입이란?
____사용성 테스트
__요약


7장. 프로토타입 만들기

__안드로이드 스튜디오에서 프로토타입 만들기
____첫 번째 프로토타입 만들기
____두 번째 프로토타입 만들기
____디자인 확정
__테마와 스타일 만들기
____스타일 정의하기
____테마로 작업하기
__오류에 대한 준비
____사용자 입력 오류
__요약


8장. 다양한 기기 지원으로 더 많은 사용자에게 다가가기

____다양한 안드로이드 버전 지원하기
____최솟값과 대상 API 레벨 지정하기
____런타임에 버전 확인
__다양한 화면 지원하기
____구성 한정자
____안드로이드에서 정확한 리소스를 선택하는 방법
____별명 리소스 만들기
____화면 밀도
____다양한 화면 크기에 맞는 다양한 레이아웃 제공하기
____다양한 화면 방향 디자인하기
____다양한 화면에서 테스트하기
__여러 나라의 사용자에게 주목받기
____대상 언어와 지역 확인하기
____그 밖의 리소스 현지화하기
____기본 리소스는 왜 중요한가?
____앱 번역하기
____앱 현지화의 모범 사례
____다양한 로캘에서 앱 테스트하기
____구글 플레이 스토어 목록 현지화하기
____프로젝트 출시 이후
__요약


9장. UI 최적화하기

__코드의 시간 측정하기
__오버드로우 확인하기
__Hierarchy View 단순화하기
____트리 뷰(Tree View)
____트리 오버뷰(Tree overview)
____레이아웃 뷰(Layout View)
__메모리 부족 찾아내기
____메모리 모니터
____힙(heap) 탭
____객체 할당 - 메모리 변동(memory churn) 이해하기
__프로젝트 디버깅하기
____브레이크 포인트 사용하기
__Lint로 코드 검사하기
__ProGuard로 코드 최적화하기
__모든 픽셀을 상세하게 살펴보기
____Pixel Perfect 창
____Pixel Perfect 트리
____Pixel Perfect Loupe 창
__프로세스와 스레드
____프로세스 종료하기
__〉와 〈merge/〉로 레이아웃 재사용하기
____필요한 경우에만 뷰 불러오기
__요약


10장. 모범 사례와 애플리케이션 보안

__데이터 보안 유지
____네트워크 연결
__권한 요청
____새 권한 모델 - 백워드 호환성
____권한 그룹
____권한 선언
____권한과 〈uses-feature〉
____앱 권한 처리 모범 사례
__알림
____알림 모범 사례
____직접 응답할 수 있는 알림
____알림 묶음
__애플리케이션 위젯
____프로젝트의 매니페스트에 AppWidgetProvider 선언
____AppWidgetProviderInfo 파일 생성
____위젯의 레이아웃 생성
__접근성 모범 사례
____UI 컨트롤에 대한 설명 문구 추가
____포커스 탐색을 위한 디자인
____사용자 정의 뷰 컨트롤
____다양한 서체 크기 테스트
____터치 대상의 권고 크기
____타임아웃에 대한 대안 제공
__애플리케이션의 접근성 기능 테스트
__요약

내용이 비어 있는 페이지보다 어려운 것은 없다. 그것은 당신을 빤히 쳐다보며 조롱한다. 여러분은 무엇을 하고 싶은지 알고 있으며, 해내고 싶은 명확하고 멋진 그림을 갖고 있다. 상사나 고객이 여러분이 만들어낸 기쁨으로 황홀하게 웃음짓는 모습도 그릴 수 있을 것이다. 하지만 문제는 여러분 앞에 빈 페이지가 놓여 있다는 것이다.
그래서 도구에 손을 뻗게 된다. 이 책을 읽고 있는 사람은 개발자나 ID 관리 전문가일 가능성이 크다. 어느 쪽이든 무엇보다 보안이 중요하고 구축하고자 하는 것을 보호하길 원할 것이다.
OAuth에 대해 들어본 적이 있을 것이다. OAuth가 리소스, 특히, API를 보호하는 것과 관련이 있다는 것도 알고 있을 것이다. OAuth는 매우 인기가 많고 무엇이든 할 수 있다. 하지만 무엇이든 할 수 있는 것의 문제는 뭔가를 하기 어렵게 만든다는 것이다. 그런 것은 또 하나의 빈 페이지라고 할 수 있다.
저스틴과 안토니오가 쓴 이 책을 읽어보기 바란다. 무엇이든 할 수 있는 일을 할 때 그것이 정체되는 것을 막는 가장 쉬운 방법은 그냥 뭔가를 시작하는 것이다. 이 책은 OAuth가 무엇인지를 설명하고 있을 뿐만 아니라 OAuth 프로세스 전반에 걸쳐 무엇을 해야 하는지 알려주고 있다. 결국 OAuth를 도구로서 깊이 이해하게 되고 더 이상 여러분 앞에 빈 페이지가 놓여 있지 않게 될 것이다. 즉, 앞으로 멋진 것을 전달할 준비가 돼 있을 것이다.
OAuth는 매우 강력한 도구고, 이 강력함은 유연함에서 비롯된다. 유연함은 종종 자신이 하고 싶은 것을 할 수 있는 능력뿐만 아니라 안전하지 않은 방식으로 뭔가를 수행할 수 있는 능력을 의미한다. OAuth는 중요한 데이터에 접근할 수 있는 API에 대한 접근을 통제하기 때문에, 비정상적인 패턴을 피하고 모범적인 사례를 사용해 안전한 방법으로 OAuth를 이용하는 것이 중요하다. 다르게 말하면, 어떤 식으로든 어떤 것을 할 수 있는 유연함을 갖고 있다고 해서 반드시 그렇게 해야 하는 것은 아니다.
OAuth를 사용해야 하는 또 한 가지 이유는 API 호출들을 조정하고 그 결과 어떤 멋진 것을 할 수 있기 때문이다. 실현하고자 하는 멋진 생각을 페이지에 가득 채울 수 있다. OAuth는 그 길로 가기 위한 방법을 좀 더 안전하게 인도해준다.
감사하게도, 저자들은 해야 할 것과 하지 말아야 할 것에 대한 실용적인 가이드를 제공해주고 있다. 그들은 여러분이 “그냥 이것을 끝내고 싶다”와 “이것이 안전한지 확인하고 싶다”라는 생각을 모두 갖고 있다는 것을 알고 있다.
여러분의 머릿속과 여러분 고객의 손에 의해 가득 채워진 페이지를 위한 작업은 결국 그렇게 힘들지 않다는 것을 깨닫게 될 것이다.

이 책에서 다루는 내용

OAuth 2 프로토콜과 설계
OAuth 2를 이용한 인가
OpenID 커넥트와 UMA(User-Managed Access)
구현에 따른 보안 위험
JOSE, 인트로스펙션, 폐기, 등록
REST API 보호화 접근

이 책의 구성

1장, ‘안드로이드 소개’에서는 OAuth 2.0 프로토콜의 개요와 OAuth 이전의 API 보안과 OAuth가 만들어진 동기에 대해 설명한다.
2장, ‘효과적인 UI에는 무엇이 필요할까?’에서는 OAuth 2.0의 핵심적인 그랜트 타입이면서 가장 널리 사용되는 인가 코드 그랜트 타입에 대해 자세히 다룬다.
3장, ’UI 더 알아보기 - 프레그먼트, 리소스, 사용자 입력’부터 5장, ‘번뜩이는 아이디어를 상세 스케치로 바꾸기’까지는 간단하지만 모든 기능을 갖춘 OAuth 2.0 클라이언트와 보호된 리소스 그리고 인가 서버를 구축하는 방법을 설명한다.
6장, ‘스케치를 와이어프레임으로 바꾸기’에서는 인가 코드가 아닌 다른 유형의 그랜트 타입과 네이티브 애플리케이션에 대해 살펴본다.
7장, ‘프로토타입 만들기’부터 9장, ‘UI 최적화하기’까지는 OAuth 2.0 클라이언트와 보호된 리소스 그리고 인가 서버의 일반적인 보안 취약점과 그것을 피하는 방법에 대해 논의한다.
10장, ‘모범 사례와 애플리케이션 보안’에서는 OAuth 2.0 Bearer 토큰과 인가 코드에 대한 공격과 보안 취약점 그리고 방지 방법에 대해 논의한다.
11장, ‘OAuth 토큰’에서는 인코딩에 사용되는 JWT(JSON Web Token), JOSE 메커니즘, 토큰 인트로스펙션, 토큰 폐기에 대해 살펴본다.
12장, ‘클라이언트 동적 등록’에서는 동적 클라이언트 등록과 그것이 OAuth 2.0 생태계에 어떻게 영향을 미치는지에 대해 살펴본다.
13장, ‘OAuth 2.0에서의 사용자 인증’에서는 OAuth 2.0이 인증 프로토콜이 아닌 이유와 OpenID 커넥트를 이용해 OAuth 기반으로 인증 프로토콜을 구축하는 방법에 대해 실펴본다.
14장, ‘OAuth 2.0을 이용하는 프로토콜과 프로파일’에서는 OAuth 2.0 기반 위에 구축되며 사용자 간 공유를 지원하는 UMA(User Managed Access) 프로토, OpenID 커넥터, OAuth 2.0의 HEART, iGov 프로파일, 그리고 해당 프로토콜들이 특정 산업에 어떻게 적용되는지에 대해 살펴본다.
15장, ‘그 외 토큰들’에서는 OAuth 2.0의 일반적인 Bearer 토큰이 아닌 PoP(Proof of Possession) 토큰과 TLS 토큰이 OAuth 2.0과 연결돼 어떻게 동작하는지에 대해 알아본다.
16장, ‘요약과 결론’에서는 모든 것을 정리하고 이 책의 내용을 라이브러리와 더 확장된 OAuth 2.0 커뮤니티에 어떻게 적용하는지에 대해 논의한다.

현재 OAuth 2.0은 웹상에서 사용되는 최고의 인가 프로토콜이며, 모든 사람이 사용하고 있다. 규모가 큰 인터넷 기업에서부터 작은 스타트업이나 대기업에 이르기까지 많은 기업과 다양한 분야에서 사용되고 있다. OAuth 2.0을 기반으로 구축된 확장 기능과 프로파일 그리고 전체 프로토콜의 생태계가 생겨났으며, 사람들은 OAuth를 이용한 좀 더 새롭고 흥미로운 것을 모색하고 있다. 이 책의 목적은 OAuth 2.0이 무엇이고, 왜 그렇게 동작하는지를 이해시키는 것뿐만 아니라 문제를 해결하고 자체 시스템을 구축하기 위해 OAuth를 가장 잘 활용할 수 있는 방법을 제시하는 것이다.
- 지은이

OAuth는 현재 웹 애플리케이션이나 서비스뿐만 아니라 네이티브 애플리케이션에 이르기까지 광범위하게 사용되고 있다. 사용하기 쉽고, 서비스 간의 연동과 구현을 간단히 해결할 수 있게 해주기 때문일 것이다. 이 책은 OAuth가 무엇인지를 설명할 뿐만 아니라 OAuth의 구현 방법과 구현에 있어서의 고려사항 등 OAuth와 관련된 전반적인 내용을 모두 설명하고 가이드하고 있다. 특히, OAuth 구현에 있어서 중요하게 고려해야 하는 보안적인 부분(OAuth 구현에 있어서 발생할 수 있는 일반적인 보안 취약점과 그것을 피하는 방법)에 많은 지면을 할당해 OAuth 구현에 있어서의 잠재적인 위협을 자세히 설명하고 실용적인 가이드를 제시하고 있다는 것이 특징이라고 할 수 있다.
그리고 토큰 및 동적 클라이언트 등록과 좀 더 고급 주제에 대해서도 설명하고 있다. 즉, OpenID 커네트와 JOSE/JWT, JOSE 메커니즘, 토큰 인트로스펙션, 토큰 폐기와 같은 많은 관련 기술들도 함께 설명하고 있다. 또한, OAuth 2.0이 인증 프로토콜이 아닌 이유와 OpenID 커넥트를 이용한 OAuth 기반 인증 프로토콜을 구축 방법에 대해서도 살펴보며, 사용자간 공유를 지원하는 UMA(User Managed Access) 프로토콜과, PoP(Proof of Possession) 토큰, HEART, iGov 프로파일 대해서도 살펴본다. 한마디로 OAuth 뿐만 아니라 OAuth와 관련된 모든 것을 다루고 있다고 보아도 무리는 아닐 것이다.
OAuth를 단순히 강력하고 사용하기 편한 도구로만 바라보지 말고 하나의 서비스를 구성하는 중요한 구성 요소 중 하나라고 생각한다면 그 바라보는 관점이 달라지게 돼 OAuth의 유연함과 확장성을 제대로 이용할 수 있는 계기가 될 것이다. 그 결과 OAuth가 여러분의 서비스 내부에 더 깊숙하게 녹아 들어가게 되는 계기가 되길 희망한다.
- 옮긴이 씀