SECURITY · API AUTHZ

API 권한 검증 분기표

API 보안은 로그인 여부만 확인하는 수준을 넘어 객체 권한, 기능 권한, 입력 필드, 응답 범위를 매 요청마다 점검해야 합니다.

요청 처리 관문

흐름
01 요청
02 인증
03 인가
04 필드·응답 제한
05 기록

권한 실패 유형

BOLA/BFLA

인증 확인

토큰 서명, 만료시간, 폐기 상태를 확인하고 보호 API는 익명 호출을 막습니다.

객체 권한

userId, orderId 같은 식별자에 대해 소유자와 접근 권한을 검증합니다.

기능 권한

관리자 환불, 권한 변경 같은 기능은 역할 기반 접근통제를 적용합니다.

입력 필드

role, price, status처럼 민감한 필드는 클라이언트 값을 그대로 반영하지 않습니다.

응답 제한

필요한 데이터만 반환하고 Rate Limiting과 호출 로그로 자동화 남용을 줄입니다.