결국 백엔드에서 해야할 일은


code 가 들어오면


token으로 바까서 그 이후 작업을 진행하는거잖아???




이 code를 내가 받아서 다른 소셜로그인을 구현한 서비스에다가 보내면 어떻게 됨?



그러면 나는 로그인시켜주는척 하면서 사실은 그 코드를

남의 서비스 로그인하는데 써버리는거임



즉 유진이가 우리 서비스 가입하려고 코드를 주면

그 코드로

유진이의 일기장 이라는 서비스에다가 코드 보내서 로그인해버리고

로그인 정보가지고 회원정보같은거 조회한다음에


해당 회원정보를 통해서 우리 서비스 가입시켜주는거임.




이러면 로그인을 하는 아주 잠깐의 시간동안

유진이의 일기장을 모두 복사해서 내 데이터베이스에 저장할 수 있음.



유진이 잘못은 그냥


카카오톡 소셜로그인으로 우리 서비스를 가입한것 뿐임.




이거 어케 막음??



code를 받으면

안전하다고 믿고 인증서버 다녀와서 로그인 시켜주는거

이거 문제 있는거 아니냐???