안녕하세요.
카카오 로그인의 보안을 강화하기 위해서 JavaScript 키를 사용한 경우 refresh token을 얻을 수 없도록 변경할 예정입니다.
-
적용 일자: 2020년 7월 27일 예정
-
변경 내용: JavaScript 키를 사용한 API/SDK함수의 응답 중 refresh_token, refresh_token_expires_in 필드 삭제
-
변경 전 조치 사항
1. refresh_token, refresh_token_expires_in 필드가 응답으로 전달되지 않을 경우 서비스에 영향이 있는지 확인 및 조치2. 서비스에서 refresh token을 사용하고 있는 경우 아래와 같은 조치 필요
- 클라이언트(JavaScript SDK)에서 refresh token을 얻고 있는 경우
-> 리다이렉트 방식의 로그인 함수(간편로그인 지원)로 변경, 서버에서 토큰 관련 요청을 할 수 있도록 개발 필요
-> 인증 코드 요청(JavaScript SDK): JavaScript 키 / 토큰 요청(REST API): REST API 키 사용 - 서버에서 REST API로 refresh token을 얻고 있는 경우
-> 사용하고 있는 앱키를 REST API 키로 변경
- 클라이언트(JavaScript SDK)에서 refresh token을 얻고 있는 경우
[참고]
-
refresh token을 사용 여부 확인하는 방법
- 사용자 토큰 받기 API를 사용할 경우 API 응답 중 refresh_token을 사용하고 있는지 확인
- JavaScript SDK의 Kakao.Auth.login 또는 Kakao.Auth.createLoginButton 함수를 사용할 경우 함수 호출의 응답 중 refresh_token을 사용하고 있는지 확인
-
앱키 확인하는 방법
- 사용자 토큰 받기 API 호출 시 파라미터로 전달한 client_id(앱키)가 어떤 플랫폼의 앱키인지 확인
- JavaScript SDK 초기화 함수인 Kakao.init 함수에 어떤 플랫폼의 앱키를 사용했는지 확인
-
앱키의 플랫폼 종류 확인하는 방법
- 카카오 디벨로퍼스(https://developers.kakao.com) > 내 애플리케이션 > 앱 설정 > 요약 정보> 앱 키
감사합니다.