콜백 주소 고정
Google Console과 환경 변수의 callback URL이 정확히 일치해야 합니다.
O인증 점검표
소셜 로그인은 경계 검증의 연속
제공자에서 받은 값은 바로 신뢰하지 않고, 콜백 검증과 내부 계정 연결을 거쳐 서비스 토큰으로 바꿉니다.
요청 위조 방지
로그인 시작 시 state를 만들고 콜백에서 같은 값인지 확인합니다.
프로필 정규화
제공자별 필드 차이를 내부 사용자 모델에 맞게 변환합니다.
서비스 JWT 발급
외부 access token을 그대로 쓰지 않고 내부 권한 기준의 토큰을 냅니다.
실패도 사용자 흐름입니다.
동의 거부, 토큰 교환 실패, 계정 연결 실패는 프론트엔드가 해석할 수 있는 에러 코드로 리다이렉션합니다.