AUTH & API SECURITY

인증과 인가 차이

API 보안은 로그인 한 번으로 끝나지 않고, 토큰 보호와 권한 검증, 입력값 제한, 기록까지 요청마다 반복된다.

인증비밀번호, OTP, 인증서로 사용자를 확인한다.

발급세션 ID나 JWT를 안전한 속성으로 전달한다.

인가자원과 기능별로 접근 권한을 검증한다.

검증입력값, 토큰 서명, 만료 시간을 확인한다.

제한Rate Limit과 로그로 이상 요청을 추적한다.

Credential Stuffing유출 계정 재사용 공격

Session Hijacking세션 탈취와 고정

IDOR객체 식별자 조작으로 타인 자원 접근

시험 문장: 인증은 “너 누구야?”, 인가는 “너 이거 해도 돼?”, API 보안은 “모든 요청을 검증하고 기록하는 것”이다.