HttpOnly 쿠키 하이브리드 인증 구조를 운영하면서 아쉬웠던 결정들을 돌아보고, 백엔드 직접 Set-Cookie 회귀, CSP 1일차 도입, Refresh Token Rotation, 쿠키 Path/Prefix 보수화, 인증 활동 로깅까지 다음에 다시 한다면 바꿀 다섯 가지를 정리합니다.
1편·2편을 쓰면서 실제로 가장 시간이 많이 든 다섯 지점을 따로 정리합니다. 토큰 저장 위치 결정, 로그인-갱신 비대칭 구조 정당화, HttpOnly의 진짜 보호 범위, SameSite Lax의 안전 신화, CSRF "성립하지 않음" 논증의 어려움까지.
HttpOnly 쿠키가 XSS 활성 상태에서도 토큰을 완전히 지켜주지 못하는 시나리오, SameSite Lax의 세 가지 구조적 한계, CSP·Refresh Token Rotation·rate limit 같은 추가 대응책을 정리합니다.
localStorage, 서버 세션, HttpOnly 쿠키 하이브리드 세 가지 토큰 저장 전략을 비교하고, refreshToken만 HttpOnly 쿠키로 보호하는 하이브리드 구조를 채택한 의사결정 과정과 인증 플로우를 정리합니다.
AI 이미지 생성 서비스에서 클라이언트 폴링의 성능 한계를 겪고, 웹소켓 대신 웹훅을 선택한 기술적 이유와 구현 과정. Next.js API Routes 기반 웹훅 + 폴링 Fallback 구조까지의 설계 과정을 정리했습니다.
AI 이미지 생성 서비스를 1년 4개월간 혼자 프론트엔드 개발하면서 배운 것들. K8s 배포, 사용자 피드백 미팅 도입, 릴리즈 노트 작성 등 기술보다 일하는 방식에서 얻은 실무 경험과 교훈을 공유합니다.
이미지 리스트를 동적으로 불러올 때 발생하는 레이아웃 시프트(CLS)의 원인을 브라우저 Reflow 관점에서 분석하고, Skeleton UI와 Progressive Image Loading 등 세 가지 해결 전략을 비교 적용한 결과를 공유합니다.
2년 차 프론트엔드 개발자가 회사가 원하는 개발자상과 자신이 바라는 개발자상의 차이를 고민하며, 팀장 피드백과 프로젝트 경험을 통해 사용자 중심 개발자로서의 정체성을 찾아가는 성장 기록입니다.
ari Space 