안녕하세요! 검색을 통해서 들어오게 됐습니다. 저는 백엔드 개발자인데, 회사에서 프론트 개발자와 협업 중입니다.
제가 생각한 구성 요소는 총 세 가지로, 카카오 인증 서버 (Authentication Server: AS), 제가 개발 중인 서비스 (Resource Server: RS), 클라이언트입니다.
RS 는 클라이언트로부터 요청을 받을 때, 이 요청이 실제 카카오 사용자인지, 아닌지 구분하기 위해서 uid 말고 다른 것도 필요하다고 생각합니다. 그렇기 때문에 클라이언트는 RS api 를 요청할 때 access_token 을 요청에 담아서 보내고, RS 는 이 access_token 이 유효한지 체크하기 위해 카카오 AS api 를 호출해서 확인한 후 클라이언트에 응답을 줘야 합니다. Access_token 이 유효한지 체크하는 절차가 없다면, RS 입장에서는 악의적인 요청에 대응할 수가 없다고 생각합니다.
그런데 답변해주신 내용을 보니, 클라이언트는 access_token 을 RS 로 넘기면 안 된다고 하신 거 같습니다. 그렇다면 RS 는 어떻게 요청을 validation 할 수 있을까요? 혹시 카카오 AS 와는 무관한 사내용 인증 서버를 따로 만들어야 하는 것일까요?
미리 감사드립니다.