인프런 커뮤니티 질문&답변

1.authorization_code 방식이 백채널에서만 이뤄지는 것이 아닌가요?

authorization_code 방식에서 클라이언트가 인가서버로 임시코드를 요청하고 받아 오는 부분은 사용자의 에이전트 역할을 하는 브라우저에서 처리되기 때문에 프론트 채널에서 이루어진다고 볼 수 있습니다.

그리고 임시코드를 가지고 다시 토큰을 요청할 때는 백채널에서 인터널 통신이 이루어집니다.

2. 프론트에서 이뤄지면 client secret + authorization_code 를 http 요청같은데 담아서 보내게 되는건가요?

프론트 채널에서는 client_id 만 보내어서 code 를 요청합니다.
보안상 client_secret 을 전송하는 것은 위험합니다.
토큰을 요청할 때 즉 백채널에서만 client_secret 을 전송해야 안전합니다.