[추측] 기존 Spring Security를 적용한 상황에서 OAuth2 적용이 안 먹혔던 이유 추측

문제 상황

• 자체 회원가입에서 jwt refresh & access token을 직접 만들어서 적용한 상황
• 이 상황에서 oAuth2 적용 시도하였으나 실패

 

예상

소마 멘토님께서 알려주신 건데 우리 프로젝트랑 비슷한 상황인 것 같아 공유합니다

1. 정석적인 방법) jwk/jws는 jwt와 함께 씀
   • 토큰 탈취하면 마음대로 쓸 수 있기 때문에 signature 넣어서 암호화 후 비대칭으로 검증함
   • (진짜 서버에서 보낸 것인지 확인)
2. 소셜로그인이랑 같이 쓸 때의 문제점
   • 일반 로그인 시 spring에서 쓰는 token이랑 소셜 로그인 시 나오는 token이 분리되어 있음
   • 그러나 spring 자체에서 이 2개를 하나의 token으로 합쳐서 client한테 보내줌(둘이 서로 다른 유저로 잡히는 것을 막기 위함)
     ⇒ ✨근데 내가 스스로 만들어서 하는 거면 spring에서 합치는 걸 지원하지 않음✨
3. oAuth 적용 방법

• oauth third party (spring federation)
• 보통은 복잡하니까 프론트 단에서 oauth 적용함
  => 서버는 token 검증할 방법이 없음. 그냥 받아서 그렇구나~하고 하는 방식

 

기타

팀원이 OAuth2를 거의 한 달 동안 했는데도 적용이 안 돼서 왜 그런가 싶었는데 저런 이유가 있을 수도 있겠구나 싶었다

소마를 하니까 멘토님들께 궁금했던 것들을 물어볼 수 있어서 좋다ㅎㅎ