웹 보안의 기초 — JWT · OAuth · OWASP

OWASP Top 10 대부분은 유명 프레임워크가 기본 방어를 해 주지만, 경계 설정 · 신뢰 지점 은 개발자가 직접 결정합니다. 몇 가지 구체적 패턴만 익혀도 공격면이 크게 줄어듭니다.

누구를 위한 강좌인가

• "보안 설정은 어디까지 하면 충분한가?" 의 감이 없는 분
• JWT · OAuth 를 도입했는데 실수가 무서운 분
• CORS · 헤더 · rate limit 을 제대로 세팅해보고 싶은 분

다 끝내면 가능한 것

• JWT 회전 · refresh token · 블랙리스트 설계
• OAuth state · PKCE · CSRF 방어
• zod 입력 검증 + 길이 상한
• Redis rate limit · sliding window
• 보안 헤더 · CSP · CORS 설정
• 익명 폼 · honey-pot · IP 해시
• 이메일 인증 · OTP 생성·검증 · 재발송 제한

단계 흐름

[1] 위협 모델 ──▶ [2] JWT ──▶ [3] OAuth ──▶ [4] 입력 검증
                                                  │
                                                  ▼
                  [7] OTP ◀── [6] 폼 하드닝 ◀── [5] Rate + CSP

13 은 누가 들어오는지 (인증), 45 는 어떻게 막는지 (요청 제어), 6~7 은 익명·확인 의 특수 케이스.

단계 구성

1. 위협 모델 · OWASP 요약 — Top 10 · 실제 사고 비중
2. JWT · refresh · 회전 — HS256 vs RS256 · 만료 · 블랙리스트
3. OAuth + state · PKCE — 카카오 · 네이버 · CSRF
4. 입력 검증 + 길이 상한 — zod · Valibot · payload 폭주 방어
5. Rate limit + CORS + 보안 헤더 — Redis sliding window · CSP · sameSite
6. 익명 폼 하드닝 — honey-pot · IP 해시 · status flow
7. 이메일 인증과 OTP — SMTP · 앱 비밀번호 · OTP 생성·검증 · rate-limit

전제 — backend-with-spring 또는 nextjs-fullstack 중 하나 완주.