안녕하세요.
웹에서 카카오 연결끊기를 진행하려고 하는데 몇가지 문의 드립니다.
연결끊기 요청 시 엓세스토큰방식을 사용 할 경우 ACCESS_TOKEN 어떤 값으로 해야할까요?
인가코드 받기 후 redirect uri 에서 응답받은 code를 통해 토큰을 받았고 이때 받은 access_token을 사용하는것일까요?
안녕하세요.
연결끊기 요청 시 엓세스토큰방식을 사용 할 경우 ACCESS_TOKEN 어떤 값으로 해야할까요?
인가코드 받기 후 redirect uri 에서 응답받은 code를 통해 토큰을 받았고 이때 받은 access_token을 사용하는것일까요?
네 맞습니다.
카카오 로그인 시점에 받은 액세스 토큰을 의미하며, 유효기간이 지나지 않은 활성화된 액세스 토큰이면 사용가능합니다.
음 그럼 access_token을 재발급 받기 위해서는 refresh_token 이 필요한대
해당토큰도 인가코드 요청 시 받은 refresh_token 으로 access_token 갱신 받고
갱신 받은 access_token으로 처리하면 되는걸까요?
음 그럼 access_token을 재발급 받기 위해서는 refresh_token 이 필요한대
사용자가 직접 연결끊기 처리하는 것이 아니라 시스템에서 따로 연결끊기 하시려는 걸까요?
아니면, 앱에 로그인 유지 된(토큰 만료된) 고객이 연결끊기 하는 상황일까요?
(1) 보통 탈퇴 시점 연결끊기 하는데 탈퇴 메뉴는 마이페이지에 두어 로그인 해야 가능하므로
로그인 시점에 받은 액세스 토큰으로 연결끊기 합니다.
(2) 사용자가 연결끊기 하는데 토큰이 만료되었다면 연결끊기 버튼 액션시점에 다시 인가 요청으로 액세스 토큰 발급받아 처리 하실 수도 있습니다.
(3) 사용자가 아닌 별개 프로세스에서 연결끊기 시 ADMIN KEY방식으로 처리하는 것이 좋지만, ADMIN KEY보호를 위해 반드시 backend에서 처리 해주셔야합니다.
(4) 말씀하신 것처럼 리프레시 토큰으로 재발급 받아 액세스 토큰 사용하는 것도 가능합니다만, 사용자 액션이라면 인가요청으로 의사를 확인 해보는 게 좋고 배치 시스템 액션이라면 ADMIN key 사용을 추천드립니다.
활성화된 액세스 토큰이 없는 시점인 것같은데…
어떤 시점에 누가 연결끊기 하시는건지 조금더 설명해주시겠어요?
그럴일은 없겠지만 로그인 후 엑세스토큰이 만료 된 후에 탈퇴를 진행하고
(2)항목과 같이 다시 인가 요청을 해야 하는데 인가요청 시 callback uri 를 요청하지 않나요?
로그인시에도 callback uri 요청해서 로그인 처리되게 하는데
탈퇴시에 callbackuri 요청 후 다시 탈퇴페이지로 넘어와야 하는 방식으로 개발을 해야 하는것일까요?
서비스내 사용자가 서비스측 인증되어 있는 상태라면 (카카오 액세스 토큰만 만료된 상태라면)
- 리프레시토큰으로 액세스 토큰 재발급받아 연결끊기 처리 하셔도 무방할 것같습니다.
서비스측 인증도 만료된 상태라면 카카오 로그인으로 액세스 토큰을 발급받는게 좋을 것같구요.
일반적으로,
탈퇴 메뉴에서 본인확인을 위한 패스워드 입력을 제공하기도 하는데, 카카오로그인의 경우 보통 패스워드가 없으니 다시 인가요청 하기도합니다. 인가요청이니 말씀하신것 처럼 리다이렉트uri로 이동은 되구요.
이때 탈퇴용 리다이렉트 URI 따로 설정하셔 처리하시는 방법도 있을 것같습니다.
카카오 로그인 항목에서 CI(연계정보) 활성화는 어떤 항목을 처리해줘야 가능할까요?
운영하시는 서비스 일반회원가입에 본인 인증에의한 CI수집 기능이 있는 경우,
카카오 싱크 개인정보항목 검수 신청으로 심사 받아 사용하실 수 있습니다. 아래 내용 참고해보시겠어요?
동의 항목별 "필수 동의" 설정 방법 / How to set scopes to ‘Required consent’