웹 보안의 기초 — JWT · OAuth · OWASP
인증 · 입력검증 · 헤더 · CORS · 이메일 인증까지 실전 보안 7단계.
- 난이도
- intermediate
- 강의
- 7
웹 보안의 기초 — JWT · OAuth · OWASP
OWASP Top 10 대부분은 유명 프레임워크가 기본 방어를 해 주지만, 경계 설정 · 신뢰 지점 은 개발자가 직접 결정합니다. 몇 가지 구체적 패턴만 익혀도 공격면이 크게 줄어듭니다.
누구를 위한 강좌인가
- "보안 설정은 어디까지 하면 충분한가?" 의 감이 없는 분
- JWT · OAuth 를 도입했는데 실수가 무서운 분
- CORS · 헤더 · rate limit 을 제대로 세팅해보고 싶은 분
다 끝내면 가능한 것
- JWT 회전 · refresh token · 블랙리스트 설계
- OAuth state · PKCE · CSRF 방어
- zod 입력 검증 + 길이 상한
- Redis rate limit · sliding window
- 보안 헤더 · CSP · CORS 설정
- 익명 폼 · honey-pot · IP 해시
- 이메일 인증 · OTP 생성·검증 · 재발송 제한
단계 흐름
[1] 위협 모델 ──▶ [2] JWT ──▶ [3] OAuth ──▶ [4] 입력 검증
│
▼
[7] OTP ◀── [6] 폼 하드닝 ◀── [5] Rate + CSP
13 은 누가 들어오는지 (인증), 45 는 어떻게 막는지 (요청 제어), 6~7 은 익명·확인 의 특수 케이스.
단계 구성
- 위협 모델 · OWASP 요약 — Top 10 · 실제 사고 비중
- JWT · refresh · 회전 — HS256 vs RS256 · 만료 · 블랙리스트
- OAuth + state · PKCE — 카카오 · 네이버 · CSRF
- 입력 검증 + 길이 상한 — zod · Valibot · payload 폭주 방어
- Rate limit + CORS + 보안 헤더 — Redis sliding window · CSP ·
sameSite - 익명 폼 하드닝 — honey-pot · IP 해시 · status flow
- 이메일 인증과 OTP — SMTP · 앱 비밀번호 · OTP 생성·검증 · rate-limit
전제 — backend-with-spring 또는 nextjs-fullstack 중 하나 완주.
단계별 강의
다른 강좌
전체 보기 →- 처음 시작하는 개발 환경
- HTML/CSS/JS 부터 React, Next, Tailwind 까지
- Next.js 16 으로 첫 풀스택 앱 만들기
- Spring Boot 4 로 시작하는 백엔드
- Python · FastAPI · 데이터 파이프라인
- AI 시대의 개발 도구 — Claude Code · MCP · 디자인 도구
- Docker · Caddy · 클라우드 10단계 배포 옵션
- 중앙 관리자 플랫폼 — 여러 도메인을 한 허브에서
- 로컬 LLM · pgvector · RAG 챗봇 만들기
- Tauri 2 — 데스크탑 · 모바일 한 코드베이스
- 테스트 전략과 품질 게이트
- PostgreSQL 깊게 다루기 + Redis · Kafka
- 공공데이터 크롤러 만들기
- 모노레포 · SSOT · 계층 분리 사고