V12 - 2 카카오 소셜 로그인

Kakao Developers 사이트

https://developers.kakao.com/

Kakao Developers

 

Kakao Developers 설정법 참고 블로그

https://chl6698.tistory.com/177

kakao Developers(Oauth 2.0 설정) 설정 및 적용법

---

OAuth 2.0

OAuth 2.0은 "다른 서비스의 계정으로 우리 서비스에 로그인하는 것"을
가능하게 하는 인증 프로토콜입니다.

 

4가지 주요 인증 방식

 

1. Authorization Code Grant (인가 코드 승인 방식)

현재 웹/앱 생태계에서 가장 많이 쓰이고, 가장 안전한 표준 방식이다.

- 핵심: 바로 '토큰'을 주지 않고, '교환권(인가 코드)'을 먼저 줌.
- 흐름: 로그인 → 인가 코드 받기(브라우저) → 서버로 전달 → 토큰 교환(서버)
- 장점: 진짜 열쇠인 '액세스 토큰'이 사용자 브라우저에 노출되지 않고, 
안전한 서버끼리만 주고받음.

---

2. Implicit Grant (암묵적 승인 방식)

- **설명:** 인가 코드 교환 없이, 로그인하자마자 URL로 토큰을 바로 던져주는 방식.
- **현황:** 보안에 매우 취약하여 현재는 사용 금지(Deprecated)추세이며,
'인가 코드 + PKCE'로 대체됨.

---

3. Resource Owner Password Credentials Grant (비밀번호 자격증명 방식)

- 설명: 카카오 로그인창이 뜨는 게 아니라,
내 앱 입력창에 사용자가 직접 '카카오 ID/PW'를 입력하는 방식.

- 현황: 내 앱이 사용자의 비밀번호를 가로챌 수 있어 위험함.
일반 개발자는 사용 불가능하며, 카카오/네이버 공식 앱 등 특수한 경우에만 쓰임.

---

4. Client Credentials Grant (클라이언트 자격증명 방식)

- 설명: 사용자(사람) 없이, 서버와 서버가 통신할 때 쓰는 방식.
- 용도: 로그인 과정 없이 백그라운드 데이터 동기화 등에 사용됨.

- 예:  배송 조회 API (CJ대한통운, 우체국 등 배송사),
외부 데이터 가져오기 (환율, 날씨, 주식 시세)

---

주의사항

1  .env 를 이미 한 번 커밋 (팀원 로컬에서 누구 한명이)

.gitignore 만 추가해서는 이미 커밋된 파일은 안 빠짐.
다음 명령으로 git 추적에서 빼야함.

git rm --cached .env
git commit -m "remove .env from tracking"

 

이미 GitHub 에 푸시까지 한 상태라면 키는 노출된 것으로 간주하고 카카오 콘솔에서 새 키로 재발급 받기.

git history 에 남기 때문.

---

2  환경 변수가 안 읽힐 때(다음 세 가지를 차례로 점검)

1 .env 파일이 프로젝트 루트(build.gradle 옆) 에 있는가
2 파일 이름이 정확히 .env 인가 (".env.txt" 가 되어 있는 경우 많음)
3 application.yml 에 "spring.config.import" 줄이 들어가 있는가