api boundary

API 미들웨어 적용 경계

API 요청에 미들웨어를 적용할 때는 화면 흐름이 아니라 클라이언트가 해석할 수 있는 HTTP 응답을 우선한다.

API 보호토큰 없는 요청은 401 JSON

브라우저 이동보다 호출자 판단이 중요하다

권한 부족로그인 상태라도 403

사용자에게 권한 문제를 명확히 전달

공개 경계헬스체크와 공개 조회 제외

불필요한 인증 요구로 장애를 만들지 않는다

  1. 01API 경로 매칭
  2. 02인증 헤더/쿠키 읽기
  3. 03권한 정책 비교
  4. 04JSON 오류 또는 next