- 카카오 로그인 연결끊기를 호출 후 재로그인하여 해당 앱과 다시 연결될 때 회원고유번호가 변경되나요?
- 카카오 로그인 후 서버에 카카오 토큰을 보내는 것이 아니라 클라이언트에서 회원고유번호를 가져와 서버에 넘기는 로직은 보안에 취약할가요? 사용자 동의를 받지 않는 부분이라서 괜찮을 거라고 생각했는데 보안상 카카오토큰을 전달하는게 맞는 걸지 궁금합니다.
- 카카오 로그인 연결끊기를 호출 후 재로그인하여 해당 앱과 다시 연결될 때 회원고유번호가 변경되나요?
디벨로퍼스 설정에 따라 다르지만, 2018년 9월 19일 이후 생성한 앱은 기본 사용자 아이디 고정됩니다.
- 카카오 로그인 후 서버에 카카오 토큰을 보내는 것이 아니라 클라이언트에서 회원고유번호를 가져와 서버에 넘기는 로직은 보안에 취약할가요? 사용자 동의를 받지 않는 부분이라서 괜찮을 거라고 생각했는데 보안상 카카오토큰을 전달하는게 맞는 걸지 궁금합니다.
CORS(Cross-Origin Resource Sharing), 교차 출처 리소스 공유 설정되어 정해진 Front만 Backend호출 할 수 있으며, 자체 생성하신 토큰 및 세션으로 접근 제어 하신다는 전제로
추천하는 방법은
회원고유번호나 카카오토큰을 Front - Backend 사이에 전달하지 않고,
카카오와 통신은 Backend에서만 하며 카카오의 응답을 Front로 전달하시면 가장 안전할 것 같습니다.