Spring

Spring OAuth 리디렉션 URL 혼란

기록만이살길 2021. 3. 4. 05:03
반응형

Spring OAuth 리디렉션 URL 혼란

1. 질문(문제점):

안녕하세요, 저는 현재 Spring boot https://www.callicoder.com/spring-boot-security-oauth2-social-login-part-1/ 에서 인증 서비스를 구축하는이 가이드를 따르고 있습니다.

사용자가 사용자 이름과 비밀번호로 계정을 만들고 계정을 만들 때 refresh_token도 반환하도록 수정했습니다.

그러나 facebook 또는 google을 사용하여 인증 흐름을 수행하면 액세스 토큰이 리디렉션 URL에 추가 된 것을 볼 수 있습니다 ( 여기 github 링크 참조 ).

이제 OAuth 문서를 읽으면 의미가있는 것 같습니다. 그러나 사용자에게 새로 고침 토큰을 반환하려면 어떻게해야합니까? URL에서 액세스 및 새로 고침 토큰을 모두 전달하는 것이 안전합니까?

이것은 나와 내 동료가 작업중인 사이드 프로젝트입니다 (그는 아직 시작하지 않은 프런트 엔드를 수행하고 있습니다. : D) .1) URL에 두 토큰을 모두 넣어도되고 2) 그래야하는지 궁금합니다. 쿠키를 httpOnly로 설정합니다.

멍청한 질문이라면 미안하고 읽어 주셔서 감사합니다

2. 해결방안:

URL에서도 새로 고침 토큰을 반환 할 수 있습니다. 다른 가능한 해결책은 Response body에 두 토큰을 모두 JSON 페이로드로 작성하는 것입니다.

다른 질문과 관련하여 중요한 세션 관련 데이터를 유지하는 데 권장되는 방법이므로 HttpOnly 쿠키에 새로 고침 토큰을 안전하게 저장할 수 있습니다.

65711080
반응형