Spring Security + OAuth2-Client 라이브러리를 안쓰고 직접 구현한 프로젝트들 보니 인가코드를 프론트엔드한테 받는 코드들이 많더라구요. 아래 링크를 보면 책임을 FE 또는 BE가 전적으로 맡는걸로 아는데 리다이렉션을 프론트로 설정해서 인가코드를 프론트한테 받고 이를 백엔드에 전달하여 토큰은 백엔드에서 직접 호출하는 방식은 권장사항이 아니지 않나요?
네, 보안 권장사항 | Kakao Developers 보안 권장사항과 같이 BE에 일임하는 것을 권장합니다.
다만, 개발환경에 따라 자체 JWT 토큰 발급을 수월하게 하려고 인가코드를 FE에서 BE로 전달하는 경우가 더러 있는 것 같네요.
아래 내용도 참고해주세요.