AUTHENTICATION · AUTHORIZATION
로그인 이후까지 이어지는 보안 설계
신원 확인, 토큰 검증, 역할 검사, 서버 로그를 한 흐름으로 묶어 권한 누락을 줄입니다.
요청별 판단 기준표
server first
요청
인증
누구인가
권한
무엇을 허용할까
기록
왜 허용했나
GET /profile
토큰 유효
사용자 식별
본인만
userId 비교
조회 로그
민감도 낮음
DELETE /post
세션 확인
만료 검사
admin
역할 기반 제한
감사 로그
행위자 저장
구현 체크
4 layers
1
비밀번호 저장
bcrypt, salt, 반복 비용을 적용합니다.
2
토큰 보관
HttpOnly 쿠키와 짧은 만료 시간을 우선 검토합니다.
3
권한 검사
프론트 숨김과 별도로 API에서 다시 검사합니다.
4
추적 가능성
실패, 거부, 관리자 작업은 로그로 남깁니다.