API SECURITY

API 보안 검증 순서

토큰이 있다고 끝이 아닙니다. 서버가 객체 소유권과 허용 필드, 응답 범위, 자동화 호출까지 계속 확인해야 합니다.

인증토큰, 세션, API Key가 유효한지 확인합니다.

인가요청한 객체가 사용자 소유인지 서버에서 검증합니다.

입력형식, 길이, 범위, 허용 필드만 받습니다.

응답필요한 데이터만 반환해 과도한 노출을 줄입니다.

제한Rate Limiting과 로그로 대량 요청을 제어합니다.

BOLA다른 사용자의 객체 ID를 조작해 접근하는 취약점입니다.

Mass Assignment허용하지 않은 필드가 그대로 반영되는 문제입니다.

CORS신뢰할 출처만 허용하고 와일드카드를 조심합니다.