브라우저 이동보다 호출자 판단이 중요하다
api boundary
API 미들웨어 적용 경계
API 요청에 미들웨어를 적용할 때는 화면 흐름이 아니라 클라이언트가 해석할 수 있는 HTTP 응답을 우선한다.
사용자에게 권한 문제를 명확히 전달
불필요한 인증 요구로 장애를 만들지 않는다
- 01API 경로 매칭
- 02인증 헤더/쿠키 읽기
- 03권한 정책 비교
- 04JSON 오류 또는 next
- 페이지 redirect와 API JSON 혼용 금지
- OPTIONS/CORS 요청 처리 확인
- 공개 API가 matcher 밖에 있는지 점검