페이스북, 구글 등의 Oauth에 대해 궁금한 점이 있습니다.

Question

페이스북, 구글, 트위터 등의 프로바이더들을 이용해 인증을 할 때 사용자 동의 시 발급된

Access Token을 이용해 프로바이더들에게서 정보를 받아오거나 그곳에 글을 남기는 등의 일을

하는 것으로 알고 있습니다.

 

제가 만들고 있는 앱에서 따로 회원가입을 만들기 싫어서 페이스북, 구글 등을 이용해

사용자의 정보를 받으려고 하는데요.

만약 페이스북의 담벼락에 글을 쓰지도 않을 것이고, 친구목록을 가져도지도 않을 것이며

오로지 사용자가 누구인지 확인하기 위해서만 Oauth를 사용한다면

Access token은 따로 보관하지 않고 사용자의 이름, 이메일, 고유ID 값 정도만

서버에 따로 보관해도 상관없나요?

Answer 1

페이스북의 사용자 정보에 딱 한번만 접근하는 거라면 Access Token을 계속 보관하실 필요는 없구요. 메모리에 저장해놨다가 사용자 디테일만 가져올 때가지만 보관하시면 되겠죠.

하지만 다시 페이스북에 접속해서 사용자 정보나 다른 API를 사용하실 가능성이 있다면 별도롤 보관하시는게 맞겠네요. 안그러면 사용자한테 매번 페이스북에 로그인하라고 해야 하니까요.

일반적인 구현방법은 Access Token은 님의 앱에서 보관하고 있는 겁니다. 이게 제일 문안할 겁니다.