내가 작성했던 내용은 아니었지만 기억하기 위해 기록
문제상황
- 우리가 구상한 회원가입할 때의 이메일 인증방법은
이메일로 인증하기 시도 -> 사용자의 이메일로 우리의 로고 이미지를 클릭하라는 메세지를 던져주는 것이었는데
여기서 보안 이슈
이메일 (외부) 에서 이미지를 클릭했을 때 우리의 api를 호출하는 방법 자체가 보안 문제
api endpoint가 노출된다면 해커가 원하는 이메일로 토큰을 생성받아서 해당 이메일로 회원가입이 가능하다.
해결방법 ->
이메일로 받은 인증 코드를 확인해서 사용자에게 인증 코드를 우리 사이트에 입력하라고 하면 된다. 외부에서 접근하는 게 문제
문제 있으면 의식의 흐름대로 작성하는 블.log