Strategy 기준
Local, JWT, OAuth strategy는 validate 결과를 같은 사용자 shape로 정규화합니다.
Passport를 이용한 인증 구현 보안 흐름
Passport 인증은 strategy에서 신원을 확인하고 guard에서 handler 진입을 결정하는 요청 전처리 흐름입니다.
Guard 기준
AuthGuard는 인증 실패와 익명 허용 경로를 controller 앞에서 구분합니다.
Session 기준
세션 또는 토큰 저장 방식에 맞춰 serialize, 만료, 갱신 정책을 둡니다.
비밀번호 검증 실패는 사용자 존재 여부를 드러내지 않습니다.
request.user에는 handler가 필요한 최소 식별자와 역할만 싣습니다.
인증 오류 메시지와 로그는 민감한 provider 응답을 숨깁니다.