소셜XE 모듈을 이용하고 있습니다.
그런데 소셜로그인으로 가입하는 계정들의 경우, 일반 계정과는 다르게 비밀번호를 설정하지 않기 때문에
회원정보 변경이나 탈퇴 등의 동작을 '로그인만 되어 있으면' 비번 체크 없이 누구나 가능한 문제가 있습니다.
즉 일반 계정은 회원정보 변경이나 탈퇴를 하려면 비밀번호를 입력받아서 본인인지 체크는 하는데,
소셜XE로 가입된 계정은 이러한 과정이 없어서 보안에 많이 취약하다는 생각이 들었습니다.
이 문제의 해결을 위해서는 소셜로그인으로 가입한 계정도 임의의 비밀번호를 부여해서 유저에게 알려주거나,
아예 소셜로그인으로 가입을 할 때 비밀번호만 따로 입력을 받는 옵션을 넣는 방안도 있지 않을까 싶습니다.
라이믹스 차기 버전에 소셜로그인 기능이 통합돼서 나온다고 하는데, 이러한 부분에 대해서는 어떻게 생각하시는지 궁금합니다.
자세한 부분은 @람보 님이 설명을 해주셔야겠지만, 라이믹스 2.1에서는 회원정보 변경 등 일반적으로 비번을 입력받을 법한 타이밍에 만약 소셜계정으로 가입한 회원이라면 동일한 소셜계정으로 인증을 요구할 예정인 것으로 알고 있습니다.
물론 소셜계정에도 이미 로그인되어 있어서 그냥 통과되는 경우가 많기 때문에 비번을 재입력받는 것만큼 안전하지 않다고 볼 수도 있겠지만, 일반인들이 비번 관리를 얼마나 엉망으로 하는지 생각해 보면 전통적인(?) 방식대로 비번을 요구한다고 딱히 더 안전할 것 같지도 않네요. 심지어 메일이나 문자로 인증코드를 발송하더라도 동일한 기기에서 확인할 수 있을 가능성이 높으니... 스마트폰 시대의 계정 보안 개념은 PC와는 좀 다르게 접근해야 합니다.
위의 내용과는 별도로, 소셜계정으로 가입한 회원이 비번을 설정하여 일반계정으로 전환하는 것을 막지는 않을 계획입니다. 소셜로그인은 어디까지나 일부 사람들의 편의를 위해 제공하는 보조적인 수단이지, 회원제도를 대체하는 것이 아니니까요.