친구 목록 조회 관련 질문

[kmw2378]

친구 목록 조회 시 소셜 토큰이 필요합니다. 소셜 토큰은 JWT와 별개입니다. 소셜 토큰은 사용자 정보를 가져오는 용도로만 쓰이고 그 이후엔 버려집니다.

결국 친구 목록 조회때도 로그인 과정과 동일하게 인가 코드를 전달받아 소셜 토큰을 얻는 과정이 필요한데... 인가 코드를 발급받으려면 사용자가 카카오 로그인을 다시 해야 합니다. 이미 로그인이 되있는데 다시 로그인한다는게 매우 어색하다고 생각합니다.

로그인 때 발급받은 소셜 토큰을 별도로 저장하는 방법도 고민해봤습니다. 우선 JWT에 소셜 토큰을 저장하는 방법도 고민해봤는데 JWT는 암호화가 좋지않아 권장하지 않는다고 합니다. �(애초에 소셜 토큰을 서버에 별도로 저장하는게 보안상 좋지 않다고 하네요.)

그래서 친구 목록을 별도로 저장하는게 최선이라 생각합니다! 로그인시 소셜 토큰을 발급받으니 이를 통해 친구 목록을 가져오고 Friend 라는 테이블을 Update 하는게 어떨까요?

친구 목록 동기화 문제가 있긴하나 로그인마다 동기화가 되니 큰 문제는 없다고 생각됩니다.

[YeaChan05]

음... 많이 난감하네요
쉽게 가는 방법으로는 토큰에 저장하는 방법이라고 생각되기는 하다만 소셜 토큰은 다른 카카오 서비스에서 사용 가능해서 권장하지 않나보네요
그렇다고 DB에 저장하는것도 방법이라고 하기에는 실제 카카오톡 친구 목록과 저희 서비스의 DB에 정합성을 유지하기가 어려워서 DB에 저장하는방법도 막 좋아보이진 않고요...
혹시 로그인 직후에 소셜 토큰을 사용해서 카카오톡 친구 목록을 가져온 다음에 클라이언트에 암호화된 친구 목록을 전달하는 방식은 별로일까요? 만약 친구 목록을 제공하는 과정이 민감한 정보가 아니라면 암호화는 안해도 될거같고요!
이렇게 친구 목록을 로그인 직후에 받아오고, 친구 목록을 쿠키에 저장하는건 어떨까요?

[kmw2378]

개인적으로 정합성은 중요하지 않다고 생각합니다! 프로필 사진은 변동성이 크긴하나 비지니스 로직상 문제는 없을 것 같고 새로운 친구 추가정도가 관건인데 이는 빈도가 적을 것 같다고 예상됩니다.

특정 상태를 저장하기 위해선 쿠키보단 DB가 최선이라 생각합니다. 사용자가 쿠키를 초기화한 경우와 같은 예외 상황이 많을 것 같아요!