예상하지 않은 body와 query를 초기에 거부
API 라우트 보안 및 최적화
보안은 인증만이 아니라 입력 제한, 캐시 정책, 외부 호출 보호, 응답 크기 관리까지 포함한다.
GET은 캐시 가능성을 보고, 큰 목록은 페이지로 나눈다
외부 API 지연이 전체 요청을 붙잡지 않게 한다
- 01요청 제한 적용
- 02권한과 입력 검증
- 03캐시/DB/외부 API 호출
- 04응답과 로그 기록
- CORS 범위 과다 허용 금지
- API 키 서버 보관
- 타임아웃과 재시도 정책 명시