Login Security
로그인, 회원가입 보안
그냥 회원가입 문제
- 로그인 시 이메일이나 아이디로 회원가입 여부를 확인시켜주면 안된다
- 비밀번호가 틀렸는지 없는 회원인지 알려주면 안된다
- 이건 논란이 있겠다. 편의성 때문에
- 비밀번호가 틀렸는지 없는 회원인지 알려주면 안된다
- 회원가입시 이메일이나 아이디 가입확인 기능을 안 넣으려면
- 아이디 회원은 중복검사가 필수
- 이메일 회원은 이메일을 먼저 받아서 확인 후
소셜로그인 문제
- 소셜로그인의 중복가입 문제
- 소셜로그인으로 자동가입을 시켜버리면 소셜마다 새 게정이 생긴다
- 이메일이 중복되는걸 확인했다고 바로 계정을 합쳐주면 안된다. 이메일 신뢰의 이유로
- 소셜 로그인 계정의 이메일을 신뢰해도 될까?
- 소셜로그인 서비스에서 확인된 이메일만 보유하고 있는지 확신할 수 없다
- verified라고 되어 있어도 변경됐을 수 있다