0-RTT는 빠르지만 replay-safe 요청에만 제한한다
0-RTT 데이터는 첫 왕복 전에 보내므로, 공격자가 재전송해도 안전한 요청인지 먼저 판단해야 한다.
요청 예시
0-RTT 허용
이유
GET /catalog
가능 후보
읽기 요청이며 재전송돼도 상태 변경이 없다.
POST /payment
금지
중복 결제처럼 상태 변경이 반복될 수 있다.
PUT /profile
정책 필요
멱등 설계와 idempotency key가 있어야 검토 가능하다.