https://developers.kakao.com/docs/js/kakaologin
이쪽 스크립트에서 지원하는 라이브러리를 이용하면 구현은 쉽지만, 어느 사용자든지 개발자도구로 충분히 발급받은 access token을 확인할 수 있습니다.
확인해봤자 인증받은 개인이 확인할 수 있는 것이기 때문에 상관이 없는건가요?
아님 access token이 노출되면 안된다면, 노출시키지 않을 개발 방법이 뭐가 있나요?
말씀하신 것과 같이, JS-SDK를 사용하여 카카오 로그인을 연동할 경우,
문제가 있는 브라우저를 사용하는 사용자의 AccessToken이 탈취될 가능성은 있습니다.
그러나 JS-SDK를 통하여 발급된 토큰은 만료까지 유효시간이 짧고(2시간),
카카오 플랫폼 내부적으로 토큰 탈취 시, 해당 토큰의 사용을 제한하기 때문에
안전히 사용하실 수 있습니다.
만약, JS-SDK 방식의 카카오 로그인 연동이 보안에 우려 되신다면,
REST 방식으로 구현하시는 것도 하나의 방법이 되실 수 있습니다.
REST 방식은 카카오에서 발급한 AccessToken을 Frontend에서 관리하는 것이 아닌,
서비스의 Backend에서 관리하는 방식으로, 보다 보안에 안전합니다.
REST 방식 카카오 로그인 연동에 대하여, 아래 문서를 참고하시기 바랍니다.
https://developers.kakao.com/docs/restapi