yoonjaepark / flutter_naver_login

A Flutter plugin for Naver Sign In.
BSD 2-Clause "Simplified" License
49 stars 82 forks source link

fix: client secret 노출 #46

Closed jjangga0214 closed 2 years ago

jjangga0214 commented 2 years ago

안녕하세요?

Client Secret 이 노출되는 것은 OAuth2 스펙상 문제가 있습니다.

https://github.com/naver/naveridlogin-sdk-android/issues/16

(네이버가 maintaining 을 하지 않아 해당 라이브러리는 사실상 방치된 상태로 보입니다.)

이 문제는 네이버가 API 수정하지 않으면 해결할 수 없지만, 적어도 다른 분들이 인지 가능하도록 이슈를 남깁니다.

추가로 PKCE 를 가능하게 한다면(https://github.com/yoonjaepark/flutter_naver_login/issues/45), naver API 가 수정되지 않더라도 client id 만으로 Authorization Code 를 발급받는 것 까지는 yoonjaepark/flutter_naver_login 에서 구현 가능할 것으로 봅니다.