Oauth2 로그인 이후 access token 을 어떻게 사용하면 좋을까요?
안녕하세요, 현재 학교 과제로 Single page app 게임을 만들어야하는 상황입니다.
학교 Oauth 인증 서버만을 이용해서 로그인을 구현해야하는데요,
ruby on rails 를 사용해야 하는 제한이 있습니다.
구현은 Oauth2 잼만을 이용해서 다른 devise 나 omniauth 는 사용하지 않았습니다.
일단 제가 구현한 로그인 workflow 은 다음과 같습니다.
1. 유저가 "00학교 로그인" 버튼을 클릭
2. 세션에 uid가 존재하는지 확인
있으면? 홈으로 이동
없으면? 다음과 같은 url 파라미터 설정 후 학교api/oauth/authorize 로 리다이렉트
client_id => 학교 api 서버에 등록한 app의 id
redirect uri => 내 사이트로의 콜백주소
response type => "code"
state => 랜덤 문자열을 만들고 cookie에 해당 state를 저장(학교에서 콜백으로 보낸 주소에서 state를 비교)
3. 유저 권한 동의창이 뜨고 동의하면 내 콜백으로 리다이렉트
4. 내 콜백
state값 체크 : cookie에 저장했던 state 값과 url params 에 있는 state 값이 같은지
access token 값 얻기
학교 api 서버로 방금 얻은 token 을 이용해서 유저 정보를 요청 (해당 정보 안에 uid가 있음)
내db 에 해당 유저가 있으면 세션에 uid설정, 아니라면 db에 유저 정보 저장 후 세션에 uid 설정
=================================
그런데 여기서 질문이 있습니다.
access token을 얻어서 유저 정보를 얻어온것 까지는 좋은데 이 토큰을 제 db에 저장해야할 필요가 있을까요?
token 이 사용될 때는 로그인할 때 학교api에서 유저정보를 가져온뒤
1. 최초 로그인인경우 db에 등록 후 세션만들기
2. 이미 등록된 유저면 세션만 만들기
를 하고 SPA를 사용하는 동안에는 학교 api를 전혀 쓸 일이 없습니다. 다만, 제 서버쪽 api에 정보를 CRUD할 일만 있어요. 이때 세션에 저장된 uid를 이용해서 권한을 체크하면 되고 학교 api 토큰은 딱히 필요가 없다고 생각하는데, 제가 제대로 이해하고 있는게 맞나요?
댓글 달기