풀스택 개발자로서 수많은 프로젝트에서 소셜 로그인이나 API 보안을 구현하다 보면, OAuth 2.0 과 OpenID Connect (OIDC) 라는 두 프로토콜을 반드시 마주하게 됩니다. 많은 개발자들이 이 둘을 혼용하거나, 그 차이점을 어렴풋이만 알고 넘어가는 경우가 많습니다. 특히 이 두 프로토콜이 반환하는 '토큰(Token)'의 종…

현 대 분산 시스템 환경에서 서비스 간 리소스 접근을 제어하는 것은 보안 아키텍처의 핵심 과제입니다. 과거 '비밀번호 안티패턴(Password Anti-Pattern)'이라 불리는 방식, 즉 제3자 애플리케이션이 사용자의 자격 증명(ID/Password)을 직접 받아 저장하는 방식은 보안 경계(Security Perimeter)를 무너뜨리…

혹 시 아직도 사용자의 액세스 토큰(Access Token)을 브라우저의 LocalStorage 에 저장하고 계신가요? 만약 그렇다면, 당신의 서비스는 XSS(교차 사이트 스크립팅) 공격 한 번에 모든 사용자 계정을 탈취당할 위기에 처해 있습니다. "남들도 다 그렇게 하던데?"라는 안일한 생각은 보안 사고의 시작입니다. MSA(마이크…