Restful API 서버 설계시 소셜 로그인 질문 있습니다.

루이스   
   조회 3589   추천 0    

 안녕하세요?

현재 Stateless(세션을 안 쓰는) 서버를 구현하려고 하고있습니다.

그런데 갑자기 개념이 조금 헷갈려서 질문을 드립니다.

Stateless한 서버를 사용하기 위해 개발하고 있는 서비스의 서버(이하 A서버) 에서는 로그인을 성공하면 JWT형식의 토큰을 발급해줍니다.

그런데 구글 계정으로 로그인 이라는걸 추가를 하게 된다면...

구글 OAuth 서비스를 통해서 계정 인증을 하고, 성공하면 해당 계정의 구글API access_token이 발급되는것 까지는 알고 있습니다만..


이하 질문입니다.

1. 이것을 A서버에서 수신하게 되면 구글인증이 정상적으로 이루어진것으로 간주하고 JWT토큰을 다시한번 발급해주어야 하나요?

->아니면 구글측에서 받은 access토큰이나 refresh토큰을 A서버의 인증토큰으로써 사용해야 하나요?

2. JWT토큰의 자체적인 expire 기간이 있습니다. A서버에서 사용중인 자체 JWT토큰이 expire되면 다시 구글로그인을 하도록 유도해야하는건가요?

->구글측의 refresh_token이 만료가 되지 않았더라도 새로 구글 계정 인증을 유도해야하는지 궁금합니다.

3. 구글측이 발급해준 access_token이나 refresh_token을 A서버에서 꼭 저장을 해두어야 하나요?

->로그인 시도한 계정이 유효한지 검증하기 위한 용도로만 쓰고 구글API 를 사용하지 않는다면 인증여부만 파악하고 바로 파기 해도 되는지 궁금합니다.


개발관련된 이슈라 okky.kr (개발커뮤니티)에 질문을 올리려 하는데, 현재 제 컴퓨터에서는 오류가 나서 접속이 되질 않아 부득이하게 2cpu에도 올리게 되었습니다.

혹시 이 부분에 대해서 잘 알고 계신 선배님이 계시다면 답변을 부탁드리겠습니다.

감사합니다!!

짧은글 일수록 신중하게.
저라면 이렇게 정책을 잡고 개발합니다.
1.  정책에 따라 다르게 개발합니다.
다만 질문의 설명주분에 나왔듯이 A서버의 jwt토큰을 다시 발급해주는것으로 정책을 잡고, 구글토큰도 같이 저장합니다. 어디서 타임아웃, 로그아둣,급작스런 연계서버 사망이.일어날지 모릅니다.
고객에게 정책 확답을 받고 진행하세요.

2.네
글만보면 로그아웃이나 세션타임아웃 일텐데 다시 정체를 밝혀라가 필요하지 않을까요?

3. 네
어디서 유입된 인증인지는 알아야죠. Http는 늘 넌 누구냐가 문제입니다. 자유롭기는 하지요...


QnA
제목Page 1270/5709
2015-12   1679531   백메가
2014-05   5145417   정은준1
2017-09   3595   옹굴
2015-03   3595   김건우
2020-11   3595   pdahn
2017-08   3595   무아
2016-02   3595   신은왜
2015-03   3595   윈도우10
2018-03   3595   양시열
2018-04   3595   AI입니다
2017-10   3595   봉봉이
2019-01   3595   페르세우스
2020-11   3595   pibang
2020-11   3595   김황중
2018-01   3595   나라사랑
2018-09   3595   경박한시민
2019-11   3596   맨홀홍
2018-06   3596   스무프
2018-11   3596   죠슈아
2020-03   3596   NINANO
2019-09   3596   더번
2017-05   3596   코쿠