application.properties에서 provider로 등록 후 카카오 로그인 사용중인데요
저희 사이트에서 카카오API는 로그인 제외 사용하지 않고 있습니다.
근데 여기서 궁금한게 있는데요 제가 Oauth 구현을 DefaultOAuth2UserService 를 상속받고 있는 상태인데
log.info("social Service Token :: {} " + userRequest.getAccessToken().getTokenValue()); //accessToken
이 코드를 통해 access token은 가져올 수 있지만 refresh token은 DefaultOAuth2UserService 를 상속받아 구현을 하게 되면 발급이 불가능하다고 들었습니다
따로 카카오계정 요청해서 발급받으면 중복요청이라고 에러가 발생하구요.
코드 수정 거의 없이 가져올수 있다면 그러고 싶은데 어떻게 해야할까요
현재 카카오로그인 버튼 (/oauth2/authorization/kakao)을 클릭하면 provider를 통해 접근토큰 (access token)발급, 사용자 정보 조회가 자동진행 되는것으로 알고있습니다.
그리고 또 궁금한건 현재 (/oauth2/authorization/kakao)를 사용하고 DefaultOAuth2UserService 를 상속받아 구현중인데
refresh token이 없이 access token만 사용하여 서비스를 운영하면 어떠한 문제점이 발생할 수 있는지 알고 싶습니다
refresh_token 사용하실 예정이 없으신 경우 굳이 획득하여 저장하실 필요 없습니다.
refresh_token은 접근토큰을 갱신할 때 사용합니다.
서비스가 사용사의 접근토큰을 지속적으로 사용할 필요가 있을 때, 이를 갱신하기 위해 서비스에 저장하며 이러한 니즈가 없는경우 저장하지 않습니다.
아래 회원님의 다른 문의 글의 답변에서 이미 전달해 드린바와 같이 OAuth2UserRequest 에서 refresh_token 값을 획득 하시려면 accessTokenResponseClient를 재 정의하여 해당 모듈의 tokenResponseConverter 에서 OAuth2UserRequest의 additionalParameters 같은 필드에 저장하여 꺼내 쓰셔야 합니다.
혹은 사용자의 로그인 성공 여부와 상관없이 저장하실 목적이라면 authorizedClientService를 재정의하여 해당 모듈에서 접근가능한 refresh_token을 활용하여 바로 저장할 수 있씁니다.
제 생각은 현재 저희 사이트 카카오 로그인을 하게되면 prompt=login 파라미터를 준 상태라 로그아웃 후 로그인 할때마다
항시 카카오 ID/PW입력 창이 나옵니다.
로그인을 할 때 마다 유효한 access token이 발급되는건 알고있습니다.
현재 access token, refresh token은 DB에 저장해놓는 상태라 보안측면은 괜찮을거라 생각듭니다
