REST API | Kakao Developers REST API 를 참고하면서 개발을 하고 있습니다.
해당 문서에서는 인가 코드 발급 요청을 하는 주체가 Service Server 로 되어있는데,
Service Client 에서 카카오로부터 인가 코드를 발급 받고, 발급 받은 인가 코드를 Service Server 로 넘겨서 Service Server 에서 토큰을 발급 받는 흐름으로 소셜 로그인을 구현해도, 보안상 큰 문제가 없을까요?
인가코드 요청은 카카오 측, kauth.kakao.com 에 브라우저로 접근하여 처리후, 리다이렉트 URI로 302 리다이렉트 하므로
Service Client 에서 요청하셔도 무방합니다.
다만, 인가코드 탈취되지 않도록 Service Client 에서 받아서 넘기지 말고 Service Server 로 바로 리다이렉트 한 후,
회원가입 또는 로그인 처리하고 다시 Service Client로 되돌아가면 좀 더 간결한 동선 제공 가능할 것으로 보입니다.