로그인 강도 확보
비밀번호 정책, MFA, 잠금 정책으로 계정 탈취 가능성을 낮춥니다.
계정과 인터페이스
인증 이후 객체 권한까지 확인하기
인증 성공은 출발점일 뿐이며 API는 요청한 객체와 동작이 사용자 권한에 맞는지 매번 판단해야 합니다.
서버에서 접근 허용 판단
IDOR와 BOLA는 클라이언트가 보낸 식별자를 그대로 믿을 때 발생합니다.
세션과 JWT를 안전하게 관리
만료, 서명 검증, 재발급, 저장 위치를 함께 확인합니다.
남용과 노출을 제한
Rate Limiting, 필요한 필드만 반환, 상세 로그로 API 오용을 추적합니다.
인증은 사용자 확인
인가는 행위와 객체 허용 판단
API는 서버 측 검증이 기준
API 보안 답안은 “로그인했는가”에서 멈추지 말고 “이 객체를 이 동작으로 써도 되는가”까지 써야 합니다.