안녕하세요
자바스크립트 로그인 관련해서 여쭤봅니다.
자바스크립트 개발가이드 그대로 따라해보니까 웹 페이지에 Alert으로 AccessToken 등등이 표시가 되는데요, 원래 로그인 플로우에서 이 AccessToken을 클라이언트 브라우저에서 접근할 수 없어야 되는거 아닌가요? XSS,CSRF 때문에…
제가 생각하기론 SNS로그인을 하면 카카오톡 서버에서 제가 설정한 백엔드로 accessToken을 보내줘서 그걸 가지고 백엔드에서 API요청하는 거라고 생각했는데 개발 가이드에서는 클라이언트에 바로 AccessToken이 들어가있어서 어떤것이 맞는지 궁금합니다.
만약 클라이언트에 AccessToken을 보내준다면, 이 클라이언트에서 다시 제 백엔드로 AccessToken을 보내고 그걸 백엔드에서 다시 카카오로 보내서 유효한지 검사하는 로직이 될 것 같은데 이렇게 구현해도 되나요?
( 브라우저 --> 백엔드 --> 카카오 )