Authorization

개념을 먼저 레이어로 분리 HTTP에서 인증을 얘기할 때는 보통 아래 4축으로 보면 정리가 빠름 자격 증명을 매 요청에 직접 보내는 방식 서버가 저장한 상태를 식별자로 조회하는 방식 토큰 자체를 검증하는 방식 외부 인증 또는 권한 위임 프레임워크를 이용하는 방식 조금 더 구조적으로 나누면 다음처럼 분류 가능함 Credential-based Basic Auth Digest Auth API Key Client Certificate mTLS Stateful Identifier-based Session ID Opaque Token Stateless Token-based JWT PASETO 기타 signed token Authentication / Authorization Framework OAuth 2.0 OpenID Connect SAML HTTP 기반 웹 SSO 맥락 여기서 중요한 건 인증과 인가, 전달 메커니즘이 섞여서 헷갈리는 경우가 많다는 점임 ...

개요 가드 Guard를 이용해 NestJS 애플리케이션을 위험한 요청으로부터 차단하는 방법 정리 컨트롤러에 도달하기 전 단계에서 인증과 접근 제어 수행하는 패턴 중심으로 설명 가드란 NestJS에서 가드는 애플리케이션에 들어오는 요청을 컨트롤러로 보내기 전에 통과 여부를 결정하는 구성 요소 미들웨어와 유사한 역할이지만 라우트 핸들러 실행 여부를 명시적으로 결정하는 책임에 초점 요청 수명주기에서 미들웨어 다음, 컨트롤러 이전에 실행됨 canActivate가 true 또는 Promise을 반환하면 다음 단계로 진행, false면 기본적으로 403 Forbidden 응답 발생 ...