안드로이드 앱 환경에서 카카오 로그인 구현 관련 문의드립니다.
보안상의 이유로 로그인 과정을 프론트, 백엔드 둘이 나눠서 처리하지말고 한 쪽에서 처리하라고 답변하시는 것을 봤습니다. 또한, 인증서버로 부터 받은 인가 코드나 액세스 토큰을 백엔드로 전달하는 것은 보안상의 문제로 거의 권하지 않는다고 알고 있습니다.
-
Ios, android 네이티브앱에서 카카오 로그인 후 사용자 정보를 서버에 보내려고 합니다 - woody.ho 님의 게시물 #2
그런데 다른 분의 구현 로직 중에 프론트에서 “웹의 경우 접근토큰을 백엔드 redirect_uri에서 발급 받으시면 되기에 문의하신바와 같은 본안 문제는 발생하지 않겠지만, 앱의 경우 별도 보안처리가 필요 합니다.
앱에서 별다른 보안처리가 존재하지 않는 경우 접근토큰 만을 서비스로 전달하여 이를 대신할 수도 있습니다.” 라고 프론트에서 카카오로부터 발급받은 접근토큰을 백엔드로 넘겨서 사용해도 된다는 식으로 말씀을 하신 걸 보고 의아해서 여쭤봅니다… 혹시 이 방법이 현실적으로 큰 문제가 없어서 인가코드나 접근토큰을 그냥 넘겨줘도 괜찮은걸까요? -
한쪽에서 모든 로그인 과정을 다 처리하는게 더 안전하다고 하셔서 백엔드단에서 모두 처리하려고 하는데 웹에서는 보통 쿠키로 로그인 성공으로 발급된 JWT 토큰을 프론트에게 전달해주는데, 앱에서는 어떤 식으로 구현을 하는 것을 권장하실까요? 앱에서는 쿠키처리가 까다롭고 설정해줘야할게 많다고 알고 있어서 일반적으로 어떻게 구현하는지 여쭤보고 싶습니다!