MFA와 비밀번호 보호
신원 확인은 강한 인증, 실패 제한, 비밀번호 해시 저장, Credential Stuffing 대응과 연결합니다.
MFA, lockout, hash
인증 성공 뒤 권한을 다시 검증
로그인 여부와 자원 접근 권한은 별개의 판단이며 API는 객체·기능·필드 단위로 검증해야 합니다.
IDOR와 접근통제 취약점
사용자 입력의 객체 ID를 믿지 말고 서버에서 소유자와 역할을 매 요청 검증합니다.
BOLA / IDOR
세션과 JWT 보호
로그인 후 세션 재발급, 만료, 서명 검증, Refresh Token 보호와 폐기를 점검합니다.
JWT payload는 비밀 저장소 아님
기능·필드·응답 범위 제한
BFLA, Mass Assignment, 과도한 데이터 노출을 기능 권한과 스키마 검증으로 줄입니다.
allowlist + response filtering
화면 숨김클라이언트 버튼 숨김은 인가 통제가 아니며 서버 검증이
필요합니다.
OAuth/OIDCOAuth는 권한 위임, OIDC는 인증 정보 제공으로 구분합니다.
로그 관점권한 실패, 토큰 재사용, 비정상 요청 빈도를 운영 지표로
남깁니다.
인증·인가 문제는 로그인 성공에 안심하지 않고, 서버가 매 요청마다 객체와 기능 권한을 확인하는지 보는 과목입니다.