Login Security

로그인, 회원가입 보안

그냥 회원가입 문제

1. 로그인 시 이메일이나 아이디로 회원가입 여부를 확인시켜주면 안된다
   1. 비밀번호가 틀렸는지 없는 회원인지 알려주면 안된다
      1. 이건 논란이 있겠다. 편의성 때문에
2. 회원가입시 이메일이나 아이디 가입확인 기능을 안 넣으려면
   1. 아이디 회원은 중복검사가 필수
   2. 이메일 회원은 이메일을 먼저 받아서 확인 후

      소셜로그인 문제

3. 소셜로그인의 중복가입 문제
   1. 소셜로그인으로 자동가입을 시켜버리면 소셜마다 새 게정이 생긴다
   2. 이메일이 중복되는걸 확인했다고 바로 계정을 합쳐주면 안된다. 이메일 신뢰의 이유로
4. 소셜 로그인 계정의 이메일을 신뢰해도 될까?
   1. 소셜로그인 서비스에서 확인된 이메일만 보유하고 있는지 확신할 수 없다
   2. verified라고 되어 있어도 변경됐을 수 있다