📌 정책 개요

<aside> 💡

사용자에게 간편하고 안전한 로그인 경험을 제공하기 위해 OAuth 2.0 기반의 소셜 로그인을 지원하는 정책

</aside>

📜 정책 내용

핵심 원칙(Must)

• 지원하는 OAuth 제공업체: 카카오를 기본으로 지원
  • 카카오 OAuth 2.0 API 사용 필수
  • 최신 API 버전 사용
  • 제공업체의 서비스 약관 및 개발자 정책 준수
• 필수 수집 정보: 서비스 이용에 꼭 필요한 최소한의 정보만 요청
  • 카카오: 닉네임, 프로필 이미지, 고유 ID (필수)
  • 사업자 등록 시 가능한 개인정보: 이름, 성별, 출생 연도, 전화번호
  • 추가 개인정보 수집 시 사용자 명시적 동의 필수
• 인증 프로세스: OAuth 2.0 표준 Authorization Code Flow 사용
  • HTTPS 통신 필수
  • state 파라미터를 통한 CSRF 공격 방지
  • 인증 코드의 유효시간 제한 준수

제한 사항(Don't)

• OAuth 제공업체에서 제공하지 않는 추가 권한 요청 금지
• 사용자 동의 없이 추가 개인정보 수집 금지
• OAuth 토큰을 다른 목적으로 사용하거나 제3자에게 제공 금지
• 인증 실패 시 사용자에게 OAuth 제공업체의 내부 오류 정보 노출 금지

🔗 참고 자료

• 카카오 로그인 개발 가이드
• OAuth 2.0 RFC 문서
• 개인정보보호법 관련 가이드라인

🗨️ FAQ

• Q: 사용자가 카카오 연동을 해제하면 어떻게 되나요?
  • A: 사용자의 서비스 계정은 유지되지만 카카오 로그인을 통한 접근이 불가능해집니다.