안녕하세요.
웹 서비스의 Oauth 인가코드 처리는 서비스 측의 백엔드에서 도맡아 처리하도록 구성 부탁드립니다.
많은 서비스들이 웹서버와 API 서버(백엔드)가 분리되어 있기에 브라우저에서 인가코드를 획득하여 백엔드로 전달하는 경우도 있을 수 있는데요. 서비스 측 시스템 구성상 확고한 이유가 없다면 이와 같이 전달하는 것은 적절하지 않습니다.
결국 서비스는 인가코드로 접근토큰을 발급받고 이를 이용하여 서비스 측 회원 가입과 인가처리(ex, 세션, jwt)등 필요한 작업을 처리 후 사용자에게 적절한 url로 리디렉션 하셔야 하는데요
서비스 측 회원 가입과 인가처리는 결국 백엔드 측 처리 내용이라 굳이 프런트에 한번 들렸다가 인가코드를 백엔드로 전달하실 필요가 없습니다.
인가코드는 redirect_uri로 단 한 번 리디렉션 되며 접근토큰 발급 성공 여부에 상관없이 단 한 번만 사용 가능합니다.
브라우저에서 이를 취급하여 사용하는 경우 서비스 측 구현 내용에 따라 중복 사용되어 백엔드에서 많은 오류발생시킬 수도 있습니다.
즉, 인가코드를 브라우저에 한번 들렸다가 백엔드로 전달하는 것은 서비스 측 요구사항에 따라 그렇게 구현하실 수도 있겠지만 일반적으로 권장드리지 않습니다.