넵 맞습니다! 제 설명이 부족했던 것 같네요
스프링 부트에서 자체적으로 access token과 refresh token을 만들어서 ios에게 주고 이 access token과 refresh token을 통해 인증, 인가를 구현하려고 합니다.
가장 쉬운 방법은 서버 자체적으로 로그인, 회원 가입 로직을 작성하는 것이겠지만 저는 소셜 로그인을 사용하고 싶어서요.
그래서 ios에서 카카오를 통한 사용자 인증을 마치면 서버 자체적으로 생성한 access token과 refresh token을 ios에게 반환하고 싶어요.
그래서 제가 처음 생각했던 방식이 "카카오에서 생성해 준 access token"을 ios에서 제 서버로 넘겨주면 서버에서 이를 검증하고 유저 정보를 받아와서 데이터베이스를 뒤져봅니다.
만약 데이터베이스에 해당 유저 정보가 있다면 서버 자체적으로 생성한 access token과 refresh token을 직접 생성해서 넘겨주고 없다면 데이터베이스에 유저 정보를 저장하고 서버 자체적으로 생성한 access token과 refresh token을 넘겨줍니다.
그런데 본문에 적혀있듯이 access token이 탈취당하면 위험할 것 같아서 다른 대안을 찾아보던 중이었습니다.
즉 카카오로 통한 인증을 진행하는 상황은 “첫 로그인” 혹은 “서버 자체적으로 생성한 refresh token이 만료되었을 때”
이 두 가지 상황이 될테고요 나머지는 서버 자체적으로 생성한 access token과 refresh token을 통해 인증을 진행하려고 합니다.
지금으로서는 카카오에서 만들어준 access token을 서버에게 넘겨주는 방법밖에 떠오르지 않네요…
더 좋은 대안이 있다면 추천해주시면 감사하겠습니다!