카카오 로그인 시 발급받는 엑세스 토큰 및 리프레시 토큰 문의

yurilee1211 · 7월 24, 2024, 1:12오후

문의 시, 사용하시는 개발환경과 디벨로퍼스 앱ID를 알려주세요.
___SpringBoot 3.3.1, ID 1103799

안녕하세요, 카카오 로그인 구현 과정에서 궁금한 점이 생겨 문의드립니다.
현재 카카오 서버로부터 인가코드와 토큰발급 및 사용자 정보 가져오기까지 구현이 끝난 상황입니다.

이제 토큰을 관리해보려고 하는데 카카오 서버에서 발급받은 엑세스 토큰과 리프레시 토큰을 로그인 이후에도 서비스 내에서 API 호출 시 계속 활용해도 괜찮은지에 대해 궁금증이 생겼습니다.

카카오 토큰을 자체 서비스에서 계속 활용하는 것이 보안상 위험이 있기 때문에 서비스 내에서는 자체 토큰을 생성해 사용하는 사례들을 종종 보았기 때문에 이런 의문이 생긴 것 같습니다. 자체 토큰을 생성하는 것이 권장된다면 구체적으로 그 이유가 무엇인지 궁금합니다.

토큰을 백엔드에서만 관리한다고 하더라도 보안상 위험한 점이 있는걸까요?

tim.l · 7월 25, 2024, 3:16오전

안녕하세요.

카카오 로그인으로 발급받은 액세스토큰, 리프레시토큰은 카카오측 API호출에 사용하고
운영하시는 서비스 접근제어에는 자체 세션이나 쿠키, jwt를 사용하는 것이 일반적입니다.

카카오 로그인의 OIDC 스펙을 사용해서 운영하시는 서비스 jwt로 활용하셔도됩니다.

운영하시는 서비스에서 자체적으로 만든 기능에 카카오 API 호출에 사용되는 액세스토큰을 굳이 사용할 필요는 없으나 시스템구축은 운영하시는 상황에 맞게 자유롭게 구성하시면됩니다.

카카오에서 제공한 액세스토큰, 리프레시토큰은 만료기간이 있고, 개발하신 시스템 백엔드 내부에서만 사용하는 것은 보안을 위해 권장합니다.