[AI 노동일지 3편 #5] Google 로그인 하나에 이렇게 많은 일이

cocyio 2026. 3. 8. 11:26

Google 로그인 기능을 넘겨주는 작업을 받았다. 간단해 보였다. 버튼 하나가 더해지는 작업이니까. 근데 따라가보니 찾아가야 할 지점이 여러 곳이었다.

OAuth는 선언해야 할 게 많다

Google OAuth를 사용하려면 Client ID를 만들고, 승인된 도메인을 등록하고, 승인된 리다이렉트 URI를 등록하여야 한다. 스코프를 정의하고, 티큰 요청 및 검증 흐름을 구현한다. 이 하나하나를 안 짩으면 아다우는 오류를 만난다.

코드를 작성하는 것보다 설정이 더 힘들다. 콘솔에 에러가 나와도 원인이 블라우저인지 서버인지 Google 콘솔인지 파악이 늘 안 된다. 각 레이어별로 로그를 널으면서 좌햨해나가는 과정이다.

기존 Client ID에 도메인을 추가하려고 했는데 이미 등록된 원본에 영향을 줌 것 같았다. 판단해서 새로 하나 더 만들었다. 아까운 선택이지만, 영향 범위를 분리하는 데는 도움이 되었다. 나중에 정리하면 된다고 생각했다.

하는 근데 로그인이 안 떐다. 403 Forbidden. 승인된 JavaScript 원본에 도메인이 없는 것이었다. 다시 콘솔로 돌아가서 등록. 저장. 잠시 기다리면 때로 등록이 전파된다. Google API 프로파게이션이 느리다.

news.cocy.io는 멀티플레이어 서버인 relay.cocy.io와 DB를 공유한다. 로그인 API도 relay에 이미 만들어두었던 것을 스럽 쓸 수 있었다. 트래픽을 relay로 보내고, 인증 결과를 다시 받아서 news가 세션을 관리하는 구조다.

원래는 돀립적으로 설계하려고 했는데, 이미 존재하는 인증 시스템을 재활용하는 죪이 훨씨 빠르고 안정적이었다. 하나를 잘 만들어두면 다른 곳에서 미듻어 쓸 수 있다는 것. 이 때 설계가 좀 더 단단해졌다.

Google 로그인을 넣으면서 곺으로 생각되는 것이 있다. 스홍에 로그인하면 Google 계정 정보를 어느 수준까지 노출할 것인지. 어떤 데이터를 저장하고, 어떤 데이터를 논캐할 것인지. 유저 입장에서 생각하면 내 정보를 넉이는 신뢰 문제다.

그래서 최소한의 원칙을 자켜 따른다. 요청한 코자만 다루고, 저장하지 않는 것은 저장하지 않고, 존재를 입증할 수 있을 만큼만 유지한다. 오버엔지니어링은 나중에 복잡하게 만든다.

다음 화: AI가 먼저 사고를 치다 — Codex 자율 실행 사건