인증/인가 기본기
세션·쿠키·JWT·OAuth2·CSRF 등 인증/인가에서 자주 만나는 개념
가이드
인증 API 레이트리밋 설계: 로그인/회원가입/비번재설정은 다르게
브루트포스/계정 유추를 막으면서도 정상 사용자는 덜 불편하게 만드는 레이트리밋 설계
쿠키 기반 SSO: 서브도메인에서 세션 공유하기
cookie/session을 이용해 여러 서브도메인에서 로그인 상태를 공유할 때의 설정값과 함정
JWT vs 세션: 무엇을 선택할까?
인증 모델을 고를 때 고려해야 할 보안/운영/UX 포인트
비밀번호 재설정(Reset Password) 안전하게 만들기
토큰 발급/만료/1회성, 계정 유추 방지, 링크 보안까지 포함한 비밀번호 재설정 체크리스트
세션/쿠키가 유지되지 않을 때 체크리스트
로그인이 풀리거나 쿠키가 안 붙을 때: SameSite/Secure/Domain/프록시/CORS를 한 번에 점검
용어
01 Cookie
브라우저가 서버에 자동으로 보내는 작은 상태 정보
02 CSRF
인증된 사용자의 권한으로 원치 않는 요청을 보내게 하는 공격
03 HttpOnly
브라우저 JS에서 쿠키를 읽지 못하게 막는 쿠키 속성(주로 세션 보호)
04 JWT
서명된 JSON 토큰 형식(JSON Web Token) — 인증에 자주 사용
05 OAuth 2.0
서드파티 앱이 사용자 리소스에 접근하도록 ‘권한’을 위임하는 프레임워크
06 Password reset token
비밀번호 재설정 링크/코드를 위한 1회성 토큰(만료/재사용 방지/유출 대응이 핵심)
07 SameSite
쿠키가 ‘다른 사이트에서 시작된 요청’에 포함될지 결정하는 쿠키 속성
08 Secure cookie
HTTPS 연결에서만 전송되도록 강제하는 쿠키 속성(Secure)
09 세션 (Session)
서버가 유지하는 사용자 로그인 상태(보통 세션 ID로 식별)