사용자 신원 확인
비밀번호 해시, 솔트, MFA, 실패 제한으로 인증 단계를 보호합니다.
API 통과 기준
인증·인가와 API 요청 점검 기준
API 보안은 로그인 한 번으로 끝나지 않습니다. 매 요청마다 신원, 권한, 입력, 속도를 확인해야 합니다.
자원별 권한 확인
IDOR를 막기 위해 객체 소유자와 역할을 서버에서 검증합니다.
세션과 JWT 보호
만료시간, 서명 검증, 쿠키 보안 속성, HTTPS를 확인합니다.
남용과 입력 통제
Rate Limiting, 입력값 검증, 로그 기록으로 이상 요청을 제한합니다.
인증은 누구인지 확인, 인가는 무엇을 해도 되는지 확인이다.
JWT에는 민감정보를 넣지 않고 서명과 만료를 검증한다.
API 권한 검사는 클라이언트가 아니라 서버에서 수행한다.
인증·인가 문제는 “로그인 성공 후에도 매 요청마다 권한을 다시 본다”는 문장으로 정리됩니다.