카카오 로그아웃 기능 구현중인데
카카오계정과함께 로그아웃을 하기위해서 제공한 api를 사용하려는 과정에서
클라이언트에 restapi 키가 노출될것같은데 이게 괜찮은 건가요?
안녕하세요.
카카오, 구글, 페이스북과 같은 OAuth2 인증 방식에서 클라이언트ID(이하 앱 키)는 웹브라우저 같은 곳에서 일반적으로 노출될 수 있습니다.
하지만, 앱 키가 노출되어도 디벨로퍼스의 플랫폼 설정 및 redirect uri를 올바르게 설정하고 사용하시고 계신다면
노출과 관련한 보안 문제가 일어날 일은 매우 낮습니다.
(단, 어드민 키 제외, 어드민키는 백앤드에서만 사용되기에 외부에 노출 되어서는 안됩니다.)
다만, 사용자의 접근 토큰의 탈취나 파밍, 재킹 등에 의한 보안사고를 미연에 방지하기 위해 카카오에서는 아래의 보안 권장 사항을 가이드 하고 있으니 참고 부탁드립니다.