Rest api 로그인 관련 문의 드립니다. (api_key 노출 / 은닉 관련)

안녕하세요, 제가 잘 몰라서 질문을 드립니다.
개발환경은 스프링부트를 이용하고 있습니다.
REST API를 이용해서 로그인 처리를 하려고 합니다.

로그인 처리에는 크게

1. 제 apk_key를 이용해 code를 받아와야 하고
2. code를 이용해 access_token을 받아와야 합니다.

이 때,

1번에서 code를 받아올 때
https://kauth.kakao.com/oauth/authorize?**client_id=a4166~~~~~~~~~~~~~~**&redirect_uri=http://localhost:8000/login&response_type=code

와 같은 요청을 하게 됩니다.

여기서 client_id에 제 rest_api에서 사용할 app_key가 들어 가는데요,

view(jsp) 에서 버튼을 만들어
이 링크를 보이고자 하니 => https://kauth.kakao.com/oauth/authorize?**client_id=a4166~~~~~~~~~~~~~~**&redirect_uri=http://localhost:8000/login&response_type=code

화면 단에 제 app_key가 보이는 문제가 있습니다.

여기서 질문이 있습니다.

1. app_key가 그대로 다른 고객들에게 노출되어도 되는 정보인가요? (당연히 안 될 것이라 생각이 듭니다.)
2. 안된다면, 이 문제를 해결하기 위한 보편적인 방법은 뭔가요?

고수님들의 답변 부탁드리겠습니다. ㅜㅜ

안녕하세요. 카카오 입니다.
카카오 로그인과 관련하여 문의주신 내용에 답변 드립니다.

1. app_key가 그대로 다른 고객들에게 노출되어도 되는 정보인가요? (당연히 안 될 것이라 생각이 듭니다.)

AppKey는 OAuth2.0 스펙의 ClientID에 해당합니다. 앱을 나타내는 ID에 해당하는 정보로 보안에 문제가 되지 않습니다.

2. 안된다면, 이 문제를 해결하기 위한 보편적인 방법은 뭔가요?

AppKey가 노출되는 것에 대하여, 좀 더 안전한 서비스로 구성하기 위해, ClientSecret을 활성화 할 수 있습니다.
ClientSecret은 ‘앱 > 설정 > 일반 > ClientSecert’ 메뉴에서 발급 및 활성화 할 수 있습니다.
자세한 내용은 개발자가이드 - ClientSecret 기능에서 확인하시기 바랍니다.

감사합니다.

OAuth2.0을 찾아보겠습니다 감사합니다