Blog | ari Space

2026

"다시 한다면 어떻게 할까" — 인증 아키텍처 회고와 개선안

HttpOnly 쿠키 하이브리드 인증 구조를 운영하면서 아쉬웠던 결정들을 돌아보고, 백엔드 직접 Set-Cookie 회귀, CSP 1일차 도입, Refresh Token Rotation, 쿠키 Path/Prefix 보수화, 인증 활동 로깅까지 다음에 다시 한다면 바꿀 다섯 가지를 정리합니다.

May 12, 2026
13 min read

frontend security authentication
인증 아키텍처에서 가장 헷갈렸던 다섯 지점 — 토큰 위치, 비대칭 구조, HttpOnly, SameSite Lax, CSRF 논증

1편·2편을 쓰면서 실제로 가장 시간이 많이 든 다섯 지점을 따로 정리합니다. 토큰 저장 위치 결정, 로그인-갱신 비대칭 구조 정당화, HttpOnly의 진짜 보호 범위, SameSite Lax의 안전 신화, CSRF "성립하지 않음" 논증의 어려움까지.

April 15, 2026
7 min read

frontend security authentication
"HttpOnly만 믿으면 안 된다" — XSS 활성 상태와 SameSite Lax의 한계

HttpOnly 쿠키가 XSS 활성 상태에서도 토큰을 완전히 지켜주지 못하는 시나리오, SameSite Lax의 세 가지 구조적 한계, CSP·Refresh Token Rotation·rate limit 같은 추가 대응책을 정리합니다.

March 18, 2026
8 min read

frontend security authentication