안녕하세요. 클라이언트만 만들다가 서버단에까지 손을 대기 시작한 초보 개발자입니다. 서버는 이제 막 노트북으로 APM 구축해서 쿼리나 해 오는 정도의 수준입니다.
여하튼 그렇게 해서 회원 가입해서 로그인 해야 이용할 수 있는 앱을 만들었습니다. 로그인 시에 메일 계정과 비번을 입력하면, sql에서 찾아서 그 해당 사용자의 고유 인덱스(int)를 받아오고 그걸 static에 저장해서 쿼리할 때 써먹게 했습니다. 보안상으로 허점이 많지만 보안에 신경 쓰는 앱은 아니라서.... 조금씩 개선해 나가야죠.
다른 앱에서는 페이스북이나 구글 계정으로 가입 절차 하나 없이 곧바로 가입과 로그인을 동시에 처리하는 기능이 있더군요. 편리하기도 하고, 보안상으로도 좋다고도 하고. 페이스북과 구글에서도 그런 로그인을 시켜 주는 API가 있는 것 같은데, OAuth 라는 존재를 그제야 알게 됐습니다.
해서 제가 생각해 본 것은
1. 페이스북으로 로그인 버튼을 누르면, 페이스북에서 내 계정에 할당한 고유 ID를 앱으로 던져줌(json으로 해주면 만세)
2. 앱은 그 ID를 넙죽 받아서 DB에 메일주소 대신 저장하고 고유 인덱스를 할당해 가입 절차를 완료하고 로그인도 해 줌
3. 로그인 때 받은 인덱스를 이용해 쿼리 작업 등에 사용
라는 구조입니다.
페이스북에 글쓰기 같은 기능은 일절 사용할 생각은 없고, 그냥 프로필 사진이랑 이름이나 가져올 수 있으면 좋겠네요.
그래서 이 방식이 과연 적절한 것인지, 다른 앱에서는 어떤 방식을 사용하고 있는지 자세히 알아보려 했지만 스택오버플로우에서조차 명쾌한 답을 내려주질 않더라고요. 인증과 인가에 대한 부분도 조금 아리송하고... 보안 쪽을 차치한다면 적합한 방식이 없을지 고수분들의 고견을 부탁드립니다.
