웹 보안의 기초 — JWT · OAuth · OWASP

OWASP Top 10 대부분은 유명 프레임워크가 기본 방어를 해 주지만, 경계 설정 · 신뢰 지점 은 개발자가 직접 결정합니다. 몇 가지 구체적 패턴만 익혀도 공격면이 크게 줄어듭니다.

누구를 위한 강좌인가

• "보안 설정은 어디까지 하면 충분한가?" 의 감이 없는 분
• JWT · OAuth 를 도입했는데 실수가 무서운 분
• CORS · 헤더 · rate limit 을 제대로 세팅해보고 싶은 분

다 끝내면 가능한 것

• JWT 회전 · refresh token · 블랙리스트 설계
• OAuth state · PKCE · CSRF 방어
• zod 입력 검증 + 길이 상한
• Redis rate limit · sliding window
• 보안 헤더 · CSP · CORS 설정
• 익명 폼 · honey-pot · IP 해시

단계 구성

1. 위협 모델 · OWASP 요약 — Top 10 · 실제 사고 비중
2. JWT · refresh · 회전 — HS256 vs RS256 · 만료 · 블랙리스트
3. OAuth + state · PKCE — 카카오 · 네이버 · CSRF
4. 입력 검증 + 길이 상한 — zod · Valibot · payload 폭주 방어
5. Rate limit + CORS + 보안 헤더 — Redis sliding window · CSP · sameSite
6. 익명 폼 하드닝 — honey-pot · IP 해시 · status flow

전제 — backend-with-spring 또는 nextjs-fullstack 중 하나 완주.