아 제가 잘못 말씀드린 것 같습니다.
토큰이 노출될 수 있다고 판단한건 로그인 정상 처리 후 자체 발급한 jwt 토큰을 클라이언트 단으로 넘길 때 자체 발급한 access token과 refresh token이 노출될 수 있다는 뜻에서 작성한 부분입니다.
현재는 spring security를 사용하여 카카오 oidc를 처리하고 있는데,
https://devtalk.kakao.com/t/oauth-jwt/129058
이 글을 보고 ios 단에 카카오 oidc 과정은 위임하는게 나을 것 같다는 생각이 들어 현재 기존 spring security oidc 관련 코드는 걷어내고 있었습니다.
바뀐 로직은 ios 단에서 진행된 카카오 oidc 인증 과정을 거쳐 provider, provider_id, email 같은 정보를 추출해 서버 단으로 이 정보를 보낸 뒤, DB에 해당 정보로 가입된 사용자가 있는지를 판단한 후
- DB에 존재한다면: 자체 발급한 jwt access token, refresh token을 response body에 담아 전송
- DB에 존재하지 않는다면: DB에 저장 후 자체 발급한 jwt access token, refresh token을 response body에 담아 전송
이런 식으로 진행하려 했습니다.
이 말씀이 제가 위에 적은 내용과 동일한 것으로 이해하면 될까요 ?
- ios 단에서 카카오 oidc를 이용하여 사용자 정보 추출
- 서버 단으로 해당 정보만 전송
- 서버에서 DB 조회 후 저장 or 로그인 과정 수행
내용이 많이 길어져서 죄송합니다. 감사합니다 @tim.l !!