안녕하세요, 저는 현재 Spring boot https://www.callicoder.com/spring-boot-security-oauth2-social-login-part-1/ 에서 인증 서비스를 구축하는이 가이드를 따르고 있습니다.
사용자가 사용자 이름과 비밀번호로 계정을 만들고 계정을 만들 때 refresh_token도 반환하도록 수정했습니다.
그러나 facebook 또는 google을 사용하여 인증 흐름을 수행하면 액세스 토큰이 리디렉션 URL에 추가 된 것을 볼 수 있습니다 ( 여기 github 링크 참조 ).
이제 OAuth 문서를 읽으면 의미가있는 것 같습니다. 그러나 사용자에게 새로 고침 토큰을 반환하려면 어떻게해야합니까? URL에서 액세스 및 새로 고침 토큰을 모두 전달하는 것이 안전합니까?
이것은 나와 내 동료가 작업중인 사이드 프로젝트입니다 (그는 아직 시작하지 않은 프런트 엔드를 수행하고 있습니다. : D) .1) URL에 두 토큰을 모두 넣어도되고 2) 그래야하는지 궁금합니다. 쿠키를 httpOnly로 설정합니다.
멍청한 질문이라면 미안하고 읽어 주셔서 감사합니다