콜백 주소 고정
등록된 redirect URI와 서버 콜백 경로를 정확히 맞춘다.
OAuth security
OAuth 운영 보안 점검 기준
소셜 로그인은 제공자 설정, 콜백 주소, 내부 계정 연결, 토큰 전달 방식이 모두 맞아야 안전하다.
경계 검증
state 검증
요청을 시작한 클라이언트와 돌아온 콜백이 같은 흐름인지 확인한다.
계정 연결 정책
같은 email이라도 provider id가 다를 때 병합 기준을 둔다.
토큰 전달 제한
프론트엔드 전달 후 즉시 저장 정책과 만료 정책을 적용한다.