소셜 계정
AISCouncil는 여러 인증 방법을 지원하여 모든 기기에서 로그인하고 제공업체 간에 계정을 연결할 수 있습니다. 인증은 보안과 복원력을 중심으로 설계되었습니다 -- WebAuthn/Passkeys는 타사 OAuth 제공업체가 중단되더라도 작동하는 하드웨어 기반 피싱 방지 로그인을 제공합니다.
지원되는 로그인 제공업체
로그인 제공업체는 계정 생성에 전화 인증이 필요한지 여부에 따라 두 계층으로 나뉩니다.
1계층: 전화 인증 (새 계정 등록 가능)
이 제공업체들은 계정 생성을 위해 전화 인증이 필요하며, 이는 신원 확인 및 스팸 방지 보호 역할을 합니다. 이들 중 하나를 사용하여 새 AISCouncil 계정을 만들 수 있습니다.
| 제공업체 | 전화 필요? | 참고 |
|---|---|---|
| 예 (2021년부터 필수) | 전 세계적으로 가장 일반적인 로그인 방법 | |
| Apple | 예 (Apple ID 필수) | 개인정보 보호 중심, 이메일 숨기기 옵션 |
| 예 (SMS/WhatsApp 인증) | 일부 지역에서 WhatsApp 인증 지원 | |
| 예 (중국 전화번호) | 중국 사용자의 기본 로그인 방법 | |
| Telegram | 예 (전화 우선, 항상 필수) | 전화번호가 계정 식별자 |
2계층: 연결 전용 (등록 불가, 연결 가능)
이 제공업체들은 전화 인증을 보편적으로 요구하지 않으므로 새 계정을 만드는 데 사용할 수 없습니다. 그러나 계정이 있으면 로그인 편의를 위해 이들 중 하나를 연결할 수 있습니다.
| 제공업체 | 연결 전용인 이유 | 유용한 용도 |
|---|---|---|
| GitHub | 이메일 전용 계정 존재 | GitHub 로그인을 선호하는 개발자 |
| Twitter/X | 2023년부터 전화가 선택사항 | 소셜 미디어 통합 |
| Discord | 전화는 선택사항 | 게임 및 커뮤니티 사용자 |
등록은 완전히 새로운 AISCouncil 계정을 만드는 것을 의미합니다. 이에는 신원 확인을 위해 1계층 제공업체가 필요합니다. 연결은 기존 계정에 추가 로그인 방법을 연결하는 것을 의미합니다. 등록 후 지원되는 모든 제공업체를 연결할 수 있습니다.
WebAuthn / Passkeys
WebAuthn은 모든 사용자에게 권장되는 기본 인증 방법입니다. 기기의 하드웨어 보안 모듈(TPM 또는 Secure Enclave)이 지원하는 공개 키 암호화를 사용합니다.
작동 방식
- 등록: 기기가 공개/개인 키 쌍을 생성합니다. 공개 키는 저장되고, 개인 키는 기기의 보안 하드웨어를 떠나지 않습니다.
- 인증: 플랫폼이 무작위 챌린지를 보냅니다. 생체 인식(지문, 안면 인식) 또는 PIN으로 확인 후 기기가 개인 키로 서명합니다.
- 검증: 서명된 챌린지가 저장된 공개 키에 대해 검증됩니다. 총 계산 비용: 서명 검증 1회.
이점
- 피싱 면역 -- 개인 키가 도메인에 바인딩되어 가짜 사이트에서 사용할 수 없음
- 비밀번호 없음 -- 기억할 것도, 훔칠 것도, 유출될 비밀번호 데이터베이스도 없음
- 오프라인 작동 -- 초기 등록 후 인증은 기기에서 로컬로 수행
- 생체 인식 UX -- 지문이나 안면 인식이 비밀번호 입력보다 빠름
- 교차 기기 -- 패스키는 iCloud Keychain, Google 비밀번호 관리자 또는 Windows Hello를 통해 기기 간 동기화
1계층 제공업체(예: Google)로 등록하여 계정을 만든 다음, 설정 > 계정에서 Passkey를 설정합니다. 그 후 지문이나 안면 인식만으로 로그인할 수 있습니다 -- OAuth 리디렉션이 필요 없습니다.
추가 계정 연결
계정을 만든 후 추가 로그인 제공업체를 연결할 수 있습니다:
- 설정 열기 (헤더의 기어 아이콘)
- 계정 섹션으로 이동
- 연결된 제공업체에서 계정 연결 클릭
- 제공업체 선택 및 OAuth 흐름 완료
- 연결된 목록에 제공업체가 나타남
각 연결된 제공업체는 대체 로그인 방법이 됩니다. 로그인에 사용하는 제공업체와 관계없이 신원은 동일합니다.
교차 기기 인증
패스키는 여러 기기에서 로그인하는 권장 방법입니다:
- Apple 기기: 패스키는 iCloud Keychain을 통해 동기화 (iPhone, iPad, Mac)
- Android/Chrome: 패스키는 Google 비밀번호 관리자를 통해 동기화
- Windows: Windows Hello는 PIN, 지문 또는 안면 인식으로 패스키 지원
패스키 동기화를 지원하지 않는 기기의 경우 연결된 OAuth 제공업체로 로그인할 수 있습니다.
게스트 모드
인증 서버가 구성되지 않은 자체 호스팅 배포의 경우, 게스트 모드는 로그인 없이 모든 기능에 대한 전체 액세스를 제공합니다.
게스트 모드는 개인/자체 호스팅 용도로만 사용됩니다. 게스트 세션은 기기에 로컬로 저장되며 기기 간 동기화할 수 없습니다. 연결할 제공업체가 있는 계정이 없으며, 브라우저 저장소가 지워지면 데이터를 복구할 방법이 없습니다.
게스트 모드는 다음 경우 자동으로 활성화됩니다:
localhost또는.pages.dev미리보기 도메인에서 실행 중- 인증 구성이 감지되지 않음
- 로그인 화면에서 "게스트로 계속"을 명시적으로 선택
개인정보: 저장되는 데이터
AISCouncil는 최소한의 사용자 데이터를 저장하며, 모든 데이터는 기기에 유지됩니다:
| 데이터 | 저장 위치 | 서버와 공유? |
|---|---|---|
| 이름 | localStorage (ais-user) | OAuth 흐름 중에만 |
| 이메일 | localStorage (ais-user) | OAuth 흐름 중에만 |
| 프로필 사진 URL | localStorage (ais-user) | OAuth 흐름 중에만 |
| 로그인 제공업체 | localStorage (ais-user) | OAuth 흐름 중에만 |
| API 키 | localStorage (ais-apikey-*) | 절대 안 함 -- LLM 제공업체에만 전송 |
| 채팅 기록 | IndexedDB | 절대 안 함 |
| 봇 설정 | IndexedDB | 절대 안 함 (URL로 공유하지 않는 한) |
| 설정 | localStorage | 절대 안 함 |
OAuth 흐름은 제공업체 콜백을 처리하기 위해 API 서버(api.aiscouncil.net)를 통과하지만, 사용자 자격 증명은 URL 매개변수를 통해 즉시 클라이언트로 다시 전달되어 로컬로 저장됩니다. 서버는 채팅 또는 봇 데이터에 대한 사용자 데이터베이스를 유지하지 않습니다.
계정 보안
- 모든 OAuth 토큰은 서버 측에서 검증됨 -- 제공업체의 공개 키 사용 (Google 및 Apple은 RS256 JWKS, Telegram은 HMAC-SHA256)
- Telegram 재생 방지 -- 인증 페이로드 재사용 방지 (600초 nonce 윈도우)
- 입력 살균 -- 저장 전 모든 OAuth 사용자 데이터에서 HTML 특수 문자 제거
- 일반 오류 메시지 -- 정보 유출 방지를 위해 인증 실패 시 일반 메시지 반환, 구체적인 이유는 서버 측에만 로깅
계정 삭제
데이터를 제거하려면:
- 설정 > 계정 열기
- 계정 삭제 클릭
- 삭제 확인
이렇게 하면 현재 기기에서 모든 로컬 데이터(프로필, 채팅 기록, 설정, API 키)가 지워집니다. 데이터는 로컬로 저장되므로 한 기기에서 삭제해도 로그인되어 있을 수 있는 다른 기기에는 영향을 주지 않습니다.