비밀번호 찾기 API를 구현 하면서 로직에 대해서 고민을 하였는데요. 현재 상태에서 가성비 좋게 구현하려고 방법을 생각하니 아래 3가지 방법이 떠올랐습니다.
(이메일, 지역코드) 를 입력 받아서 등록된 이메일로 임시 비밀번호를 발송해주는 방법
메일인증 후 비밀번호를 메일로 보내는 방법
2번과 유사한 방법이지만 메일을 2개 보내지 않고 비밀번호 정보는 따로 보여주는 페이지를 만든다.
결론적으로 2번 방식으로 구현을 하였습니다.
프론트쪽에서는 3가지 모두 그리 오래 걸리지 않는다고 하여 백엔드쪽의 결정에 따른다고 합니다.
1번의 경우 악의적으로 비밀번호초기화 공격을 할 가능성도 있기 때문에 2,3번 방법이 더욱 안정적이라 생각하였고
2,3 번의 경우 크게 차이는 없지만 2번방식이 조금 더 안정적인 것 같아 선택했습니다.
3번의 경우에는 메일에서 링크를 클릭하면 바로 새로운 창이 뜨면서 비밀번호를 보여주기 때문에 사용자 측면에서는 조금 더 자연스러울 수 있을 것 같습니다. 다만 리스폰스에 임시비밀번호가 담겨오기 때문에 보안쪽으로 문제가 없는지 걱정됩니다.(제 생각에는 크게 문제 없어보이긴합니다.)
2,3번 중에 어떠한 방식이 좋다고 생각하는지 궁금합니다.
수정하는게 크게 어렵지 않기 때문에 여러분들의 의견을 들어보고 수정 후 머지하겠습니다.
Summary
Description
비밀번호 찾기 API를 구현 하면서 로직에 대해서 고민을 하였는데요. 현재 상태에서 가성비 좋게 구현하려고 방법을 생각하니 아래 3가지 방법이 떠올랐습니다.
(이메일, 지역코드) 를 입력 받아서 등록된 이메일로 임시 비밀번호를 발송해주는 방법
메일인증 후 비밀번호를 메일로 보내는 방법
2번과 유사한 방법이지만 메일을 2개 보내지 않고 비밀번호 정보는 따로 보여주는 페이지를 만든다.
결론적으로 2번 방식으로 구현을 하였습니다. 프론트쪽에서는 3가지 모두 그리 오래 걸리지 않는다고 하여 백엔드쪽의 결정에 따른다고 합니다. 1번의 경우 악의적으로 비밀번호초기화 공격을 할 가능성도 있기 때문에 2,3번 방법이 더욱 안정적이라 생각하였고 2,3 번의 경우 크게 차이는 없지만 2번방식이 조금 더 안정적인 것 같아 선택했습니다. 3번의 경우에는 메일에서 링크를 클릭하면 바로 새로운 창이 뜨면서 비밀번호를 보여주기 때문에 사용자 측면에서는 조금 더 자연스러울 수 있을 것 같습니다. 다만 리스폰스에 임시비밀번호가 담겨오기 때문에 보안쪽으로 문제가 없는지 걱정됩니다.(제 생각에는 크게 문제 없어보이긴합니다.)
2,3번 중에 어떠한 방식이 좋다고 생각하는지 궁금합니다. 수정하는게 크게 어렵지 않기 때문에 여러분들의 의견을 들어보고 수정 후 머지하겠습니다.
Related Issue
Issue Number: close #104