spring boog Oauth2 client 질문 합니다!

OAuth2와 JWT를 이용한 인증/인가에 대한 여러분의 질문에 대해 답변 드리겠습니다. 1. Access Token 노출 문제: 실제로 URL에 토큰을 포함하여 보내는 것은 보안상 권장되지 않습니다. 이 토큰은 웹 로그에 남을 수 있고, 브라우저에 저장될 수 있으며, 다른 사이트로 전달될 수 있기 때문입니다. 보통 이를 해결하기 위해 두 가지 방법을 사용합니다: - Fragment Identifier(프래그먼트 식별자): 이 방식은 URL의 fragment 부분(# 이후의 부분)에 액세스 토큰을 첨부하여 전달하는 방식입니다. Fragment는 웹 서버에 전송되지 않기 때문에, 이 방식으로 액세스 토큰을 전달하면 웹 서버 로그에 기록되는 것을 방지할 수 있습니다. - Post Message API: 이는 브라우저에서 제공하는 API로, 서로 다른 출처 간에 데이터를 안전하게 전달할 수 있게 해주는 방식입니다. 이 방식은 팝업 창을 이용하는 로그인 플로우에서 주로 사용되며, 팝업 창에서 로그인이 성공하면 Post Message API를 통해 메인 윈도우에 액세스 토큰을 안전하게 전달할 수 있습니다. 2. User 테이블과 OAuth2 테이블 분리 문제: 사용자 데이터와 OAuth2 데이터를 분리하는 것이 일반적입니다. 사용자 데이터는 사용자의 이름, 이메일, 연락처 등의 정보를, OAuth2 데이터는 공급자(예: Google), OAuth2 ID, 액세스 토큰 등의 정보를 저장합니다. 이렇게 테이블을 분리하면 다음과 같은 이점이 있습니다: - 확장성: 사용자가 여러 OAuth2 공급자를 통해 로그인할 수 있도록 지원하고 싶다면, User 테이블과 OAuth2 테이블을 분리하는 것이 좋습니다. 이렇게 하면 각 사용자는 여러 OAuth2 계정을 가질 수 있게 됩니다. - 유지보수: OAuth2 데이터는 공급자에 따라 변경될 수 있습니다. 예를 들어, 액세스 토큰은 일정 시간마다 만료되어 갱신해야 합니다. 이러한 변경사항을 쉽게 관리하려면 User 테이블과 OAuth2 테이블을 분리하는 것이 유리합니다. 이렇게 보안과 설계에 주의를 기울이면, OAuth2와 JWT를 사용한 인증/인가를 안전하고 효율적으로 구현할 수 있습니다. 다만, 이러한 기술들은 복잡성이 높으므로, 실제로 구현하기 전에 충분히 이해하고 시작하는 것이 중요합니다.