feature: CORS 설정

[SieunKiim]

아 어쩔수없이 다 열어야하는구나 오키도키요~

[JackCokebb]

이거 위험

• 1. authId + email을 아무거나 조합해서 우리쪽에 post 날리면 유효하지않은 깃허브, 구글 아이디이지만 있는척 하고 회원가입이나 로그인 가능

• ex. authId:1 + email: a@b.c (가능, 여기서 authId만 ++해서 계속 쏘면 계속 회원가입 가능, 회원가입후 로그인까지 가능)

• 2. 토큰 탈취후 디코딩 -> 토큰 안에 authId랑 email이 있기 때문에 탈취하면 언제든지 로그인 가능

• 우리 토큰이 시크릿 없이 디코딩 되고 로그인에 필요한 authId와 email이 둘다 있기 때문에 언제든지 로그인 가능

• email만 넣자니 email 중복 회원가입을 허용하기 때문에 유저 구분이 불가능하여 현시점에서는 email만 넣기도 불가능

[yunko1803]

1번과 2번 해결법: 백앤드에서 로그인과 회원가입 api 에서, provider ('google' or 'github') 인지를 통해서 next-auth에서 제공하는 accessToken이 유효한지 검증하는 api 를 별도로 콜해서 검증을 해야할것 같습니다.

google 같은경우는: https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=ACCESS_TOKEN 이걸로 테스트 가능하고 github의 경우는

get('https://api.github.com/user', {
headers: {
Authorization: Bearer ${accessToken},
Accept: 'application/vnd.github.v3+json'
}
});

해당 api 로 검증이 가능합니다.

3번 같은경우는 유저 구분을 provider가 google인지 github인지에 따라 중복처리도 해결이 될것 같습니다.

[JackCokebb]

• memberPrincipal 또는 threadLcoal 작업 필요
• test code 작업 필요